Onze blog

Achtergrond SLSA (Supply-chain Levels for Software Artefacts) is een beveiligingsframework dat tot doel heeft manipulatie te voorkomen, de integriteit te verbeteren en pakketten en infrastructuur te beveiligen. Het kernconcept van SLSA is dat een software-artefact alleen kan worden vertrouwd als het aan drie eisen voldoet: Het artefact moet een herkomstdocument hebben waarin de oorsprong en het bouwproces ervan worden beschreven.

״Softwareleveranciers moeten aansprakelijk worden gesteld als zij niet voldoen aan de zorgplicht die zij aan consumenten, bedrijven of aanbieders van kritieke infrastructuur verschuldigd zijn ״(het Witte Huis). Tegenwoordig wordt van elke softwareleverancier verwacht dat hij een grotere verantwoordelijkheid op zich neemt voor het waarborgen van de integriteit en veiligheid van software door middel van contractuele overeenkomsten, softwarereleases en -updates, meldingen en […]

TL;DR De afgelopen jaren heeft de technologie-industrie vurig gepleit voor het concept van ‘naar links verschuiven’ in de softwareontwikkeling, en gepleit voor een vroege integratie van beveiligingspraktijken in de ontwikkelingslevenscyclus. Deze beweging heeft tot doel ontwikkelaars de verantwoordelijkheid te geven om de veiligheid van hun code vanaf het begin van het project te garanderen. Hoewel de bedoelingen achter deze aanpak echter […]

De industrie heeft het idee van een SBOM nog niet volledig begrepen en we hoorden al een nieuwe term – ML-BOM – Machine Learning Bill of Material. Laten we, voordat er paniek uitbreekt, eerst begrijpen waarom zo'n stuklijst moet worden geproduceerd, wat de uitdagingen zijn bij het genereren van een ML-BOM en hoe zo'n ML-BOM eruit kan zien. […]

Een van de risico's van de softwaretoeleveringsketen is het lekken van geheimen. Er zijn overal in de softwaretoeleveringsketen geheimen; ontwikkelaars en de CI\CD-pijplijnen moeten geheimen gebruiken om toegang te krijgen tot de SCM, de pijplijn, de artefactregisters, de cloudomgevingen en externe services. En als er overal geheimen zijn, is het een kwestie van tijd […]

Begin augustus bracht het Amerikaanse National Institute of Standards and Technology (NIST) een conceptversie 2.0 uit van zijn baanbrekende Cybersecurity Framework, voor het eerst gepubliceerd in 2014. Er is de afgelopen tien jaar veel veranderd, niet in de laatste plaats het stijgende niveau van cyberveiligheidsbedreigingen die in het oorspronkelijke document bedoeld waren om kritieke […]

We hebben de laatste tijd allemaal veel over SBOM's gehoord. We hoorden over hun nut, hun samenstelling en hun eisen op het gebied van veiligheid en regelgeving. Deze keer wil ik de tijd nemen om te praten over een iets minder bekend segment van de CyclonDX SBOM: de afhankelijkheidsgrafiek. Anders dan de naam doet vermoeden is de Dependency Graph geen […]

Er is de afgelopen jaren veel geschreven over de SBOM – Software Bill Of Materials. Door al deze bekendheid hebben mensen het gevoel dat ze goed genoeg weten wat het is om uit te leggen: het is een lijst met software-ingrediënten, het is belangrijk voor transparantie en veiligheid, en het helpt voorbijgaande afhankelijkheden bloot te leggen. Alle […]

Valint is de belangrijkste Scribe-tool voor het maken, beheren, ondertekenen en verifiëren van bewijsmateriaal. In een vorige post hebben we de theorie besproken van het gebruik van het ondertekenen en verifiëren van bewijsmateriaal als een belangrijk hulpmiddel bij het valideren van de veiligheid van uw CI/CD-pijplijn. Ter korte herinnering: het door Scribe voorgestelde model bevat verschillende bouwstenen die door elkaar kunnen worden geschud en […]

In september 2022 heeft het Amerikaanse Office of Management and Budget (OMB) een baanbrekende memo uitgegeven over de stappen die nodig zijn om uw softwaretoeleveringsketen te beveiligen in een mate die aanvaardbaar is voor de Amerikaanse federale overheid. Elk bedrijf dat zaken wil doen met de overheid en elk federaal agentschap dat software produceert, moet voldoen aan de […]