우리 블로그

״소프트웨어 공급업체는 소비자, 기업 또는 중요 인프라 제공자 ״(백악관)에게 빚진 관리 의무를 이행하지 못할 때 책임을 져야 합니다. 오늘날 모든 소프트웨어 제공업체는 계약 합의, 소프트웨어 릴리스 및 업데이트, 알림 및 […]을 통해 소프트웨어의 무결성과 보안을 보장하는 데 더 큰 책임을 져야 합니다.

TL;DR 최근 몇 년 동안 기술 업계에서는 소프트웨어 개발에서 "왼쪽으로 이동"이라는 개념을 열렬히 옹호하면서 보안 관행을 개발 수명 주기에 조기에 통합할 것을 옹호했습니다. 이 움직임은 개발자에게 프로젝트 시작부터 코드 보안을 보장할 책임을 부여하는 것을 목표로 합니다. 그러나 이러한 접근 방식의 의도는 […]

업계에서는 아직 SBOM에 대한 아이디어를 완전히 이해하지 못했고, 우리는 이미 ML-BOM(머신 러닝 자재 명세서)이라는 새로운 용어를 듣기 시작했습니다. 당황하기 전에 이러한 BOM을 생성해야 하는 이유, ML-BOM 생성의 어려움, ML-BOM의 모양을 이해해 보겠습니다. […]

소프트웨어 공급망의 위험 중 하나는 비밀 유출입니다. 비밀은 소프트웨어 공급망 곳곳에 있습니다. 개발자와 CI\CD 파이프라인은 비밀을 사용하여 SCM, 파이프라인, 아티팩트 레지스트리, 클라우드 환경 및 외부 서비스에 액세스해야 합니다. 그리고 비밀이 어디에나 있다면 그것은 시간의 문제입니다 [...]

2.0월 초, 미국 국립표준기술원(NIST)은 2014년에 처음 발표된 획기적인 사이버 보안 프레임워크의 초안 10 버전을 발표했습니다. 지난 XNUMX년 동안 많은 변화가 있었는데, 그 중 특히 보안 수준의 상승이 있었습니다. 원본 문서가 중요한 도움을 주기 위해 제시한 사이버 보안 위협 [...]

우리는 최근 SBOM에 대해 많이 들었습니다. 우리는 그 유용성, 구성, 보안 및 규제 요구 사항에 대해 들었습니다. 이번에는 CyclonDX SBOM의 잘 알려지지 않은 부분인 종속성 그래프(Dependency Graph)에 대해 이야기하는 시간을 갖고 싶습니다. 이름에서 알 수 있듯이 종속성 그래프는 […]

지난 몇 년 동안 SBOM(Software Bill Of Materials)에 관해 많은 말이 쓰여졌습니다. 이러한 모든 노출을 통해 사람들은 설명하기에 충분할 만큼 잘 알고 있다고 느낍니다. 이는 소프트웨어 구성 요소의 목록이고 투명성과 보안에 중요하며 일시적인 종속성을 노출하는 데 도움이 됩니다. 모두 […]

Valint는 증거 생성, 관리, 서명 및 확인을 위한 주요 Scribe 도구입니다. 이전 게시물에서는 CI/CD 파이프라인의 보안을 검증하는 주요 도구로 서명 및 증거 확인을 사용하는 이론을 다루었습니다. 잠시 상기시켜드리자면, Scribe가 제안한 모델에는 섞고 […]할 수 있는 여러 빌딩 블록이 포함되어 있습니다.

2022년 XNUMX월, 미국 관리예산국(OMB)은 소프트웨어 공급망을 미국 연방 정부가 허용할 수 있는 수준으로 보호하는 데 필요한 단계에 관한 획기적인 메모를 발표했습니다. 소프트웨어를 생산하는 정부 및 연방 기관과 사업을 하려는 모든 회사는 […]

CVE(Common Vulnerability and Exposures) 검사는 소프트웨어 애플리케이션을 보호하는 데 필수적입니다. 그러나 소프트웨어 스택의 복잡성이 증가함에 따라 모든 CVE를 식별하고 해결하는 것이 어려울 수 있습니다. 오늘날 CVE 스캔의 가장 큰 문제 중 하나는 […]