사이버 위험

글로벌 소프트웨어 공급망은 민감한 정보나 지적 재산을 훔치고 시스템 무결성을 손상시키겠다고 위협하는 사이버 범죄자로부터 항상 위협을 받고 있습니다. 이러한 문제는 민간 기업뿐만 아니라 대중에게 안전하고 안정적으로 서비스를 제공하는 정부의 능력에도 영향을 미칠 수 있습니다. 미국 관리예산국(OMB) [...]

세 개의 미국 정부 기관이 함께 모여 개발자들이 특정 관행을 채택하도록 "강하게 권장"할 때 주의를 기울여야 합니다. CISA, NSA 및 ODNI는 사이버 해커의 위협과 SolarWinds 공격의 여파를 인식하여 소프트웨어 공급 보안을 위한 권장 사항 모음을 공동으로 발표할 것이라고 발표했습니다. [...]

미국 정부는 사이버 보안 정책을 개편하는 과정에 있습니다. 여기에는 SDLC(소프트웨어 개발 수명 주기) 전반에 걸쳐 보안 취약성을 줄이는 것을 목표로 하는 NIST(National Institute of Standards and Technology)의 SSDF(Secure Software Development Framework) 버전 1.1 출시가 포함됩니다. 이 문서는 소프트웨어 공급업체와 인수업체에 "[...]

애플리케이션과 웹사이트에서 데이터를 추출하도록 설계된 새로운 소프트웨어 공급망 공격이 20개가 넘는 NPM 패키지에서 발견되었습니다.

GitGat은 Rego로 작성된 독립형 OPA(Open Policy Agent) 정책 세트입니다. GitGat은 SCM 계정의 보안 설정을 평가하고 상태 보고서와 실행 가능한 권장 사항을 제공합니다.

서명된 제품과 공급업체의 업데이트를 신뢰할 수 없으며 자신의 코드가 이미 수정되거나 추가되었을 수도 있습니다. 그렇다면 시스템에 악성 파일이 설치되지 않는다는 것을 정말로 확신하기 위해 무엇을 할 수 있습니까?

22월 1.1일 NIST는 SSDF XNUMX(보안 소프트웨어 개발 프레임워크)의 최종 버전을 출시했습니다. 최종 버전과 이전 초안의 차이점을 몇 가지 살펴보겠습니다.

CI 내부에서 무슨 일이 일어나는지 알고 있나요? 깊은 이해가 없으면 혁신적인 공급망 공격에 취약할 수 있습니다. 이 문서에서는 이러한 공격에 대해 설명합니다.

지속적인 보증은 최종 소프트웨어 제품의 보안에 영향을 미칠 수 있는 제품 빌드 및 배포를 포함하여 개발 수명 주기의 모든 이벤트에 대한 증거를 세부적으로 수집합니다.

NIST의 SSDF(Secure Software Development Framework)는 소프트웨어 개발 수명 주기에서 악의적인 개입 및 취약점 노출 위험을 줄이기 위해 투명성과 변조 방지 조치를 장려합니다.