Cyberrisico

Nu iedereen zich er steeds meer van bewust wordt, zou het beschermen van uw softwaretoeleveringsketens een essentieel onderdeel moeten zijn van de cyberbeveiligingsstrategie van elke organisatie. Een van de grootste problemen bij het creëren van een alomvattende strategie om bedreigingen voor de softwaretoeleveringsketen te beperken, is de complexiteit en diversiteit van toeleveringsketens. Elke supply chain is uniek en de elementen […]

Eind maart 2023 legden beveiligingsonderzoekers de complexe software supply chain-aanval van een bedreigingsacteur op zakelijke communicatiesoftware van 3CX bloot, voornamelijk de desktop-app voor spraak- en videogesprekken van het bedrijf. De onderzoekers waarschuwden dat de app op de een of andere manier door een trojan was gehackt en dat het gebruik ervan de organisatie zou kunnen blootstellen aan een mogelijk exfiltratieplan door een bedreigingsacteur. […]

CI/CD-pijplijnen zijn notoir ondoorzichtig als het gaat om wat er precies binnenin gebeurt. Zelfs als jij degene bent die het YAML-configuratiebestand (de pijplijnlijst met instructies) heeft geschreven, hoe kun je er dan zeker van zijn dat alles precies gebeurt zoals beschreven? Erger nog, de meeste pijpleidingen zijn volledig kortstondig, dus zelfs als er iets ergs gebeurt, zijn er geen […]

OpenSSL is een veelgebruikte open-source softwarebibliotheek voor het implementeren van veilige communicatie via computernetwerken. Hoe veel gebruikt? De kans is groot dat als je ooit een HTTPS-webpagina hebt bezocht, je dit via een OpenSSL-codering hebt gedaan. De bibliotheek biedt cryptografische functies en protocollen voor gegevenscodering, decodering, authenticatie en verificatie van digitale handtekeningen. OpenSSL kan […]

Succesvolle cyberaanvallen op zowel hardware- als softwareproducten komen verontrustend vaak voor. Volgens Cybersecurity Ventures heeft cybercriminaliteit de wereld in 7 naar schatting 2022 biljoen dollar gekost. Met zo’n hoog prijskaartje is het geen wonder dat zowel bedrijven als overheden dit opmerken. De VS liepen voorop met het presidentiële uitvoerende bevel […]

Geautomatiseerde CI/CD-pijplijnen (Continuous Integration/Continuous Delivery) worden gebruikt om de ontwikkeling te versnellen. Het is geweldig om triggers of planningen te hebben die uw code nemen, samenvoegen, bouwen, testen en automatisch verzenden. Omdat ze echter zijn gebouwd met het oog op snelheid en gebruiksgemak, betekent dit dat de meeste pijpleidingen niet inherent zijn gebouwd met beveiliging in […]

De snelheid waarmee nieuwe kwetsbaarheden worden onthuld, neemt voortdurend toe. Momenteel bedraagt ​​dit gemiddeld 15,000 CVE's per jaar. 2022 valt op met meer dan 26,000 gerapporteerde nieuwe CVE’s. Uiteraard zijn niet alle kwetsbaarheden relevant voor uw software. Om erachter te komen of een bepaalde kwetsbaarheid een probleem is, moet je eerst uitzoeken [...]

Ondanks de toenemende acceptatie van de Software Bill of Materials (SBOM) als hulpmiddel voor kwetsbaarheidsbeheer en cyberbeveiliging, hebben veel organisaties nog steeds moeite met het begrijpen van de twee populairste SBOM-formaten die tegenwoordig worden gebruikt, SPDX en CycloneDX. In dit artikel vergelijken we deze twee formaten om je te helpen de juiste te kiezen voor […]

Vorige maand kwam ik dit artikel van Dark Reading tegen. Het zag er heel bekend uit. Het duurde niet lang voordat ik me realiseerde dat de in het artikel besproken kwetsbaarheid voor cross-workflow artefactvergiftiging in GitHub een opvallende gelijkenis vertoonde met de kwetsbaarheid voor cross-workflow cachevergiftiging in GitHub waarover we in maart 2022 berichtten. GitHub-workflows: een belangrijk onderdeel van GitHub […]

Door het toenemende gebruik van componenten van derden en de lange toeleveringsketens van software kunnen aanvallers nu via één enkele exploit veel softwarepakketten tegelijk in gevaar brengen. Als reactie op deze nieuwe aanvalsvector willen steeds meer ontwikkelings- en DevOps-teams, evenals beveiligingsprofessionals, een Software Bill of Materials (SBOM) integreren. De softwaretoeleveringsketen […]