사이버 위험

Valint의 강력한 기능에 대해 자세히 알아보는 블로그 시리즈의 두 번째 부분에 다시 오신 것을 환영합니다. 이 기사에서는 Valint의 정책 엔진과 공급망 전체의 규정 준수를 보장하는 중추적인 역할에 중점을 둘 것입니다. 이전 블로그 게시물에서 Valint의 디자인 원칙에 대한 개요를 제공했습니다. 정책 엔진이 어떻게 […]

애플리케이션의 복잡성이 증가하고 보안 위협이 확산됨에 따라 소프트웨어 애플리케이션의 보안을 보장하는 것이 조직에 중요한 과제가 되었습니다. ASPM(애플리케이션 보안 상태 관리)은 이러한 문제에 대한 솔루션으로 등장하여 가시성 향상, 취약성 관리, 소프트웨어 개발 수명주기 전반에 걸쳐 보안 제어 강화를 위한 프레임워크를 제공합니다. […]

CI/CD 파이프라인 내부에서 발생하는 세부 사항은 매우 불투명합니다. 지침의 파이프라인 목록인 YAML 구성 파일을 작성했음에도 불구하고 모든 일이 설명된 대로 정확히 발생한다고 어떻게 확신할 수 있습니까? 더 나쁜 것은 대부분의 파이프라인이 완전히 일시적이기 때문에 오작동이 발생하더라도 […]

SSDF(Secure Software Development Framework), AKA NIST SP800-218은 특히 소프트웨어 공급망 보안과 관련하여 미국의 사이버 보안 태세를 강화하는 데 초점을 맞춘 행정 명령 14028에 대응하여 NIST에서 개발한 일련의 지침입니다. SSDF는 표준이 아닌 모범 사례 프레임워크입니다. 특히 다음과 같은 조직과 관련이 있지만 [...]

배경 SLSA(소프트웨어 아티팩트에 대한 공급망 수준)는 변조 방지, 무결성 향상, 패키지 및 인프라 보안을 목표로 하는 보안 프레임워크입니다. SLSA의 핵심 개념은 소프트웨어 아티팩트가 세 가지 요구 사항을 준수하는 경우에만 신뢰할 수 있다는 것입니다. 아티팩트에는 원본과 구축 프로세스를 설명하는 출처 문서가 있어야 합니다. [...]

״소프트웨어 공급업체는 소비자, 기업 또는 중요 인프라 제공자 ״(백악관)에게 빚진 관리 의무를 이행하지 못할 때 책임을 져야 합니다. 오늘날 모든 소프트웨어 제공업체는 계약 합의, 소프트웨어 릴리스 및 업데이트, 알림 및 […]을 통해 소프트웨어의 무결성과 보안을 보장하는 데 더 큰 책임을 져야 합니다.

TL;DR 최근 몇 년 동안 기술 업계에서는 소프트웨어 개발에서 "왼쪽으로 이동"이라는 개념을 열렬히 옹호하면서 보안 관행을 개발 수명 주기에 조기에 통합할 것을 옹호했습니다. 이 움직임은 개발자에게 프로젝트 시작부터 코드 보안을 보장할 책임을 부여하는 것을 목표로 합니다. 그러나 이러한 접근 방식의 의도는 […]

업계에서는 아직 SBOM에 대한 아이디어를 완전히 이해하지 못했고, 우리는 이미 ML-BOM(머신 러닝 자재 명세서)이라는 새로운 용어를 듣기 시작했습니다. 당황하기 전에 이러한 BOM을 생성해야 하는 이유, ML-BOM 생성의 어려움, ML-BOM의 모양을 이해해 보겠습니다. […]

소프트웨어 공급망의 위험 중 하나는 비밀 유출입니다. 비밀은 소프트웨어 공급망 곳곳에 있습니다. 개발자와 CI\CD 파이프라인은 비밀을 사용하여 SCM, 파이프라인, 아티팩트 레지스트리, 클라우드 환경 및 외부 서비스에 액세스해야 합니다. 그리고 비밀이 어디에나 있다면 그것은 시간의 문제입니다 [...]

2.0월 초, 미국 국립표준기술원(NIST)은 2014년에 처음 발표된 획기적인 사이버 보안 프레임워크의 초안 10 버전을 발표했습니다. 지난 XNUMX년 동안 많은 변화가 있었는데, 그 중 특히 보안 수준의 상승이 있었습니다. 원본 문서가 중요한 도움을 주기 위해 제시한 사이버 보안 위협 [...]