2023년 XNUMX월 DHS, CISA, DOE, CESER는 '소프트웨어 자재 명세서(SBOM) 공유 수명 주기 보고서'라는 제목의 보고서를 발표했습니다. 보고서의 목적은 사람들이 SBOM을 공유하는 현재 방식을 검토하고 이러한 공유가 어떻게 더 효율적이고 정교하게 수행될 수 있는지 개괄적으로 설명하는 것이었습니다.
자세히 보기모든 사람이 점점 더 많은 인식을 갖게 되면서 소프트웨어 공급망을 보호하는 것이 모든 조직의 사이버 보안 전략에서 중요한 부분이 되어야 합니다. 소프트웨어 공급망 위협을 완화하기 위한 포괄적인 전략을 수립하는 데 있어 가장 어려운 점 중 하나는 공급망의 복잡성과 다양성입니다. 각 공급망은 고유하며 요소는 […]
자세히 보기2023년 3월 말, 보안 연구원들은 주로 회사의 음성 및 영상 통화 데스크톱 앱인 XNUMXCX의 비즈니스 커뮤니케이션 소프트웨어에 대한 위협 행위자의 복잡한 소프트웨어 공급망 공격을 폭로했습니다. 연구원들은 이 앱이 어떻게든 트로이 목마에 감염되었으며 이를 사용하면 위협 행위자의 유출 계획에 조직이 노출될 수 있다고 경고했습니다. […]
자세히 보기CI/CD 파이프라인은 내부에서 정확히 무슨 일이 일어나는지 알 수 없을 정도로 불투명합니다. 당신이 YAML 구성 파일(명령의 파이프라인 목록)을 작성한 사람이라 할지라도 모든 것이 설명된 대로 정확하게 수행되는지 어떻게 확신할 수 있습니까? 더 나쁜 것은 대부분의 파이프라인이 완전히 임시적이므로 나쁜 일이 발생하더라도 […]
자세히 보기OpenSSL은 컴퓨터 네트워크를 통한 보안 통신을 구현하기 위해 널리 사용되는 오픈 소스 소프트웨어 라이브러리입니다. 얼마나 널리 사용됩니까? 글쎄요, HTTPS 웹 페이지에 액세스한 적이 있다면 OpenSSL 암호화를 통해 액세스했을 가능성이 있습니다. 라이브러리는 데이터 암호화, 암호 해독, 인증 및 디지털 서명 확인을 위한 암호화 기능과 프로토콜을 제공합니다. OpenSSL은 […]
자세히 보기하드웨어와 소프트웨어 제품 모두에 대한 성공적인 사이버 공격이 걱정스러울 정도로 빈번해지고 있습니다. Cybersecurity Ventures에 따르면 7년에 사이버 범죄로 인해 전 세계적으로 발생한 비용은 약 2022조 달러에 달합니다. 이렇게 높은 비용으로 인해 기업과 정부 모두 주목하고 있는 것은 당연합니다. 미국은 대통령 행정명령으로 앞장섰다.
자세히 보기자동화된 CI/CD(지속적 통합/지속적 전달) 파이프라인은 개발 속도를 높이는 데 사용됩니다. 코드를 가져오고, 병합하고, 빌드하고, 테스트하고, 자동으로 제공하는 트리거나 일정을 갖추는 것은 정말 멋진 일입니다. 그러나 속도와 사용 편의성을 위해 구축되었다는 것은 대부분의 파이프라인이 본질적으로 […] 보안 기능을 갖추고 구축되지 않았다는 것을 의미합니다.
자세히 보기새로운 취약점이 공개되는 속도는 지속적으로 증가하고 있습니다. 현재 연간 평균 CVE는 15,000개입니다. 2022년에는 26,000개 이상의 새로운 CVE가 보고되었습니다. 분명히 모든 취약점이 소프트웨어와 관련된 것은 아닙니다. 특정 취약점이 문제인지 파악하려면 먼저 […]
자세히 보기취약성 관리 및 사이버 보안 도구 역할을 하기 위해 SBOM(Software Bill of Materials) 채택이 증가하고 있음에도 불구하고 많은 조직에서는 오늘날 가장 널리 사용되는 두 가지 SBOM 형식인 SPDX와 CycloneDX를 이해하는 데 여전히 어려움을 겪고 있습니다. 이 기사에서는 이 두 가지 형식을 비교하여 […]에 적합한 형식을 선택하는 데 도움을 드릴 것입니다.
자세히 보기소프트웨어 제품을 보호하는 전통적인 접근 방식은 사용자 지정 코드의 취약성을 제거하고 타사 종속성에 따른 알려진 위험으로부터 애플리케이션을 보호하는 데 중점을 둡니다. 그러나 이 방법은 부적절하며 소프트웨어 공급망에서 발생하는 위협의 전체 범위를 해결하지 못합니다. 생산부터 유통까지 이 체인의 모든 측면을 보호하지 않는 […]
자세히 보기