우리 블로그

소프트웨어 공급망의 위험 중 하나는 비밀 유출입니다. 비밀은 소프트웨어 공급망 곳곳에 있습니다. 개발자와 CI\CD 파이프라인은 비밀을 사용하여 SCM, 파이프라인, 아티팩트 레지스트리, 클라우드 환경 및 외부 서비스에 액세스해야 합니다. 그리고 비밀이 어디에나 있다면 그것은 시간의 문제입니다 [...]

2.0월 초, 미국 국립표준기술원(NIST)은 2014년에 처음 발표된 획기적인 사이버 보안 프레임워크의 초안 10 버전을 발표했습니다. 지난 XNUMX년 동안 많은 변화가 있었는데, 그 중 특히 보안 수준의 상승이 있었습니다. 원본 문서가 중요한 도움을 주기 위해 제시한 사이버 보안 위협 [...]

우리는 최근 SBOM에 대해 많이 들었습니다. 우리는 그 유용성, 구성, 보안 및 규제 요구 사항에 대해 들었습니다. 이번에는 CyclonDX SBOM의 잘 알려지지 않은 부분인 종속성 그래프(Dependency Graph)에 대해 이야기하는 시간을 갖고 싶습니다. 이름에서 알 수 있듯이 종속성 그래프는 […]

지난 몇 년 동안 SBOM(Software Bill Of Materials)에 관해 많은 말이 쓰여졌습니다. 이러한 모든 노출을 통해 사람들은 설명하기에 충분할 만큼 잘 알고 있다고 느낍니다. 이는 소프트웨어 구성 요소의 목록이고 투명성과 보안에 중요하며 일시적인 종속성을 노출하는 데 도움이 됩니다. 모두 […]

Valint는 증거 생성, 관리, 서명 및 확인을 위한 주요 Scribe 도구입니다. 이전 게시물에서는 CI/CD 파이프라인의 보안을 검증하는 주요 도구로 서명 및 증거 확인을 사용하는 이론을 다루었습니다. 잠시 상기시켜드리자면, Scribe가 제안한 모델에는 섞고 […]할 수 있는 여러 빌딩 블록이 포함되어 있습니다.

2022년 XNUMX월, 미국 관리예산국(OMB)은 소프트웨어 공급망을 미국 연방 정부가 허용할 수 있는 수준으로 보호하는 데 필요한 단계에 관한 획기적인 메모를 발표했습니다. 소프트웨어를 생산하는 정부 및 연방 기관과 사업을 하려는 모든 회사는 […]

CVE(Common Vulnerability and Exposures) 검사는 소프트웨어 애플리케이션을 보호하는 데 필수적입니다. 그러나 소프트웨어 스택의 복잡성이 증가함에 따라 모든 CVE를 식별하고 해결하는 것이 어려울 수 있습니다. 오늘날 CVE 스캔의 가장 큰 문제 중 하나는 […]

2023년 5월 백악관은 새로운 국가 사이버 보안 전략을 발표했습니다. 이 전략은 백악관이 공공 부문과 민간 부문을 모두 포함하여 모든 미국인을 위한 사이버 보안을 개선하는 데 중요하다고 간주하는 XNUMX가지 기둥의 목록을 간략하게 설명합니다. 세 번째 기둥은 보안과 탄력성을 향상시키기 위해 시장 세력을 형성하려는 추진력을 다룹니다. 그 일부 […]

2023년 9월 CISA는 사이버 보안 위험 균형 조정: 설계별 보안 및 기본 원칙이라는 새로운 소프트웨어 보안 공동 가이드를 발표했습니다. 이 가이드는 NSA, 호주 사이버 보안 센터(ACSC), 독일 연방 정보 보안국(BSI) 등 XNUMX개 기관의 협력으로 구성되었습니다. 사실 그 […]

20월 1일 OpenAI는 인기 있는 생성 AI 도구인 ChatGPT를 몇 시간 동안 중단했습니다. 이후 가동 중단 원인이 오픈소스 인메모리 데이터 저장소 라이브러리 'Redis'에서 발생한 소프트웨어 공급망 취약점이었다는 사실을 인정했습니다. 이 취약점으로 인해 시간대(오전 10시부터 XNUMX시 사이 […])가 발생했습니다.