우리 블로그

자동화된 CI/CD(지속적 통합/지속적 전달) 파이프라인은 개발 속도를 높이는 데 사용됩니다. 코드를 가져오고, 병합하고, 빌드하고, 테스트하고, 자동으로 제공하는 트리거나 일정을 갖추는 것은 정말 멋진 일입니다. 그러나 속도와 사용 편의성을 위해 구축되었다는 것은 대부분의 파이프라인이 본질적으로 […] 보안 기능을 갖추고 구축되지 않았다는 것을 의미합니다.

새로운 취약점이 공개되는 속도는 지속적으로 증가하고 있습니다. 현재 연간 평균 CVE는 15,000개입니다. 2022년에는 26,000개 이상의 새로운 CVE가 보고되었습니다. 분명히 모든 취약점이 소프트웨어와 관련된 것은 아닙니다. 특정 취약점이 문제인지 파악하려면 먼저 […]

취약성 관리 및 사이버 보안 도구 역할을 하기 위해 SBOM(Software Bill of Materials) 채택이 증가하고 있음에도 불구하고 많은 조직에서는 오늘날 가장 널리 사용되는 두 가지 SBOM 형식인 SPDX와 CycloneDX를 이해하는 데 여전히 어려움을 겪고 있습니다. 이 기사에서는 이 두 가지 형식을 비교하여 […]에 적합한 형식을 선택하는 데 도움을 드릴 것입니다.

소프트웨어 제품을 보호하는 전통적인 접근 방식은 사용자 지정 코드의 취약성을 제거하고 타사 종속성에 따른 알려진 위험으로부터 애플리케이션을 보호하는 데 중점을 둡니다. 그러나 이 방법은 부적절하며 소프트웨어 공급망에서 발생하는 위협의 전체 범위를 해결하지 못합니다. 생산부터 유통까지 이 체인의 모든 측면을 보호하지 않는 […]

지난 달 나는 Dark Reading에서 이 기사를 발견했습니다. 그것은 매우 친숙해 보였습니다. 기사에서 논의된 GitHub 워크플로 간 아티팩트 중독 취약점이 2022년 XNUMX월에 보고된 GitHub 워크플로 간 캐시 중독 취약점과 매우 유사하다는 사실을 깨닫는 데는 오랜 시간이 걸리지 않았습니다. GitHub 워크플로 - GitHub의 핵심 구성 요소 […]

타사 구성 요소의 사용이 증가하고 소프트웨어 공급망이 길어짐에 따라 공격자는 이제 단일 악용을 통해 많은 소프트웨어 패키지를 동시에 손상시킬 수 있습니다. 이 새로운 공격 벡터에 대응하여 더 많은 개발 및 DevOps 팀과 보안 전문가가 SBOM(Software Bill of Materials)을 통합하려고 합니다. 소프트웨어 공급망 […]

소프트웨어 공급망이 직면한 위험은 사이버 보안 생태계에서 대화의 최전선에 자리잡고 있습니다. 이는 부분적으로 이러한 공급망 공격의 빈도가 증가했기 때문이기도 하지만, 공격이 발생할 경우 잠재적으로 광범위한 영향을 미치기 때문이기도 합니다. 2021년 수치에서는 ​​소프트웨어 공급망 공격이 […]

글로벌 소프트웨어 공급망은 민감한 정보나 지적 재산을 훔치고 시스템 무결성을 손상시키겠다고 위협하는 사이버 범죄자로부터 항상 위협을 받고 있습니다. 이러한 문제는 민간 기업뿐만 아니라 대중에게 안전하고 안정적으로 서비스를 제공하는 정부의 능력에도 영향을 미칠 수 있습니다. 미국 관리예산국(OMB) [...]

세 개의 미국 정부 기관이 함께 모여 개발자들이 특정 관행을 채택하도록 "강하게 권장"할 때 주의를 기울여야 합니다. CISA, NSA 및 ODNI는 사이버 해커의 위협과 SolarWinds 공격의 여파를 인식하여 소프트웨어 공급 보안을 위한 권장 사항 모음을 공동으로 발표할 것이라고 발표했습니다. [...]

미국 정부는 사이버 보안 정책을 개편하는 과정에 있습니다. 여기에는 SDLC(소프트웨어 개발 수명 주기) 전반에 걸쳐 보안 취약성을 줄이는 것을 목표로 하는 NIST(National Institute of Standards and Technology)의 SSDF(Secure Software Development Framework) 버전 1.1 출시가 포함됩니다. 이 문서는 소프트웨어 공급업체와 인수업체에 "[...]