우리 블로그

사이버 위험
마이키 스트라우스 사전 예방적 파이프라인 보안: Scribe를 사용하여 OWASP 상위 10개 CI/CD 위험 적용

이 글은 Mikey Strauss와 Viktor Kartashov가 공동 집필했습니다. OWASP Top 10 위험 요소를 자동화되고 감사 가능한 제어로 전환하기 현대 DevOps 환경에서 CI/CD 파이프라인은 소프트웨어 제공의 핵심입니다. 하지만 빠른 속도만큼 노출도도 높아집니다. 기업들이 출시 속도를 높이면서 공격자들은 악성 코드를 삽입하고, 기밀 정보를 유출하거나, […]

더보기
사이버 위험
대니 네벤잘 Scribe MCP를 사용하여 보안 데이터와 통신

정적 보고서부터 대화형 보안까지 오늘날 보안 팀은 SBOM, CVE, xAST 결과, 규정 준수 검사, 위험 대시보드 등 수많은 데이터에 파묻혀 있습니다. 하지만 인사이트는 소수의 전문가만 쿼리하는 방법을 아는 대시보드에 갇혀 있는 경우가 많습니다. Scribe Security는 보안 데이터가 대화처럼 쉽게 접근 가능해야 한다고 믿습니다. 그렇기 때문에 […]

더보기
사이버 위험
대니 네벤잘 지속적인 보증에서 에이전트 기반 앱 보안까지: 보안이 속도에 따라잡는 이야기

거의 모든 엔지니어링 팀에서 같은 방식으로 시작됩니다. 개발자들은 빠르게 움직이며 기능을 구축하고, 서드파티 패키지를 통합하고, 이제는 AI 코파일럿과 함께 코드를 작성합니다. CI/CD 파이프라인은 밤낮으로 쉴 새 없이 돌아가며 그 어느 때보다 빠르게 업데이트를 프로덕션에 적용합니다. 고객들은 이러한 속도에 만족합니다. 하지만 모든 CISO의 마음속에는 […]

더보기
사이버 위험
대니 네벤잘 AI 코드, AI 수정: 자동화가 AI가 만든 것을 보호할 수 있을까?

Vibe 코딩 프로젝트에 취약점이 가득합니다! AI를 활용한 소프트웨어 개발은 공상과학 소설에서 일상의 현실로 자리 잡았습니다. AI로 코딩된 프로젝트는 해커가 취약점을 발견하기 전까지는 완벽하게 작동할 수 있습니다. 이 글에서는 발견된 정보와 취약점으로 가득한 AI 생성 코드에서 신뢰할 수 있는 제품으로 거듭나는 과정을 단계별로 살펴보겠습니다. […]

더보기
사이버 위험
대니 네벤잘 보안 발견으로 인해 속도가 느려지기 전에 해결하세요: Remus – Scribe의 AI 자동 수정 작동 방식

개발자의 업무량을 상상해 보세요. 코딩으로 하루 종일 고생하고, 마감일이 촉박한데, 끔찍한 SAST 보고서가 도착합니다. 수백 개의 발견 사항, 각각 잠재적인 취약점, 그리고 세심한 주의가 필요한 것들. 이 과정은 반복적이고 시간이 많이 걸리며, 솔직히 말해서 때로는 의욕을 꺾는 고역입니다. 상황은 점점 더 악화되고 있습니다. 코드 생성은 […]

더보기
사이버 위험
마이키 스트라우스 대규모 SLSA 규정 준수: Scribe를 사용한 출처 생성

이 글은 Viktor Kartashov와 Daniel Nebenzahl이 공동 집필했습니다. 감사관의 리트머스 시험: 빌드를 입증할 수 있습니까? "제공하는 모든 컨테이너 이미지가 주장하는 방식대로 정확하게 빌드되었음을 확실하게 입증할 수 있습니까?" 대부분의 감사관은 몇 주 동안 정신없이 YAML 리팩토링하는 대신 빠르고 확실한 답변을 기대합니다. SLSA(공급망 수준 […]

더보기
사이버 위험
마이키 스트라우스 Scribe Security를 ​​통해 SP 800–190 연속 컨테이너 규정 준수 달성

Viktor Kartashov와 공동 집필했습니다. NIST SP 800–190 표준은 이미지 출처부터 런타임 제어까지 모든 것을 포괄하는 컨테이너화된 애플리케이션 보안을 위한 체계적인 지침을 제공합니다. 빠르게 변화하는 DevOps 환경에서 컨테이너 사용이 폭발적으로 증가함에 따라 이러한 요구 사항을 충족하는 것은 필수적이면서도 어려운 과제가 되고 있습니다. 하지만 여기서 제시하는 SP 800–190은 단지 하나의 사용 사례일 뿐입니다. 더 중요한 것은 […]

더보기
사이버 위험
대니 네벤잘 In-Toto, CNCF로 전환: 소프트웨어 공급망을 손쉽게 보호

in-toto란 무엇이며 소프트웨어 공급망을 어떻게 보호할까요? 최근 몇 년간 3CX, Codecov, Solarwinds와 같은 소프트웨어 공급망 공격은 기존 개발 파이프라인의 취약성을 부각시켰습니다. 이에 대응하여 오픈소스 커뮤니티는 소프트웨어 제공의 모든 단계에서 무결성을 보장하는 프레임워크인 in-toto를 개발했습니다. In-toto […]

더보기
사이버 위험
대니 네벤잘 Scribe Security의 Policy-as-Code 가드레일이 모든 유형의 개발자가 도입하는 SDLC 위험을 억제하는 방법

오늘날의 소프트웨어 개발 환경에서 개발자 프로필의 다양성은 장점이자 취약점입니다. 선의이지만 불완전한 "좋은 개발자"에서 AI 생성 코드를 사용하는 "시민 개발자", 심지어 "악의적인 개발자"에 이르기까지 첨부된 분류법은 다양한 수준의 경험, 의도 및 행동이 상당한 소프트웨어 개발 수명 주기(SDLC) 위험을 초래할 수 있음을 강조합니다. Scribe Security는 […]

더보기
분류
루비 아르벨 NCCoE와 협력하여 소프트웨어 공급망 및 DevOps 보안 강화

Scribe Security에서 우리는 사이버 보안의 미래가 소프트웨어 공급망을 내부에서 외부로 보호하는 데 달려 있다고 믿습니다. 그래서 우리는 National Cybersecurity Center of Excellence(NCCoE)와 협력하여 소프트웨어 공급망 및 DevOps 보안 관행 프로젝트를 진행하게 되어 자랑스럽습니다. 이 이니셔티브는 공공 및 민간 부문 기술 기여자들을 소집하여 […]

더보기
1 2 3 ... 7
인기 게시물
사전 예방적 파이프라인 보안: Scribe를 사용하여 OWASP 상위 10개 CI/CD 위험 적용Scribe MCP를 사용하여 보안 데이터와 통신지속적인 보증에서 에이전트 기반 앱 보안까지: 보안이 속도에 따라잡는 이야기AI 코드, AI 수정: 자동화가 AI가 만든 것을 보호할 수 있을까?
카테고리
문의하기