Onze blog

De industrie heeft het idee van een SBOM nog niet volledig begrepen en we hoorden al een nieuwe term – ML-BOM – Machine Learning Bill of Material. Laten we, voordat er paniek uitbreekt, eerst begrijpen waarom zo'n stuklijst moet worden geproduceerd, wat de uitdagingen zijn bij het genereren van een ML-BOM en hoe zo'n ML-BOM eruit kan zien. […]

Een van de risico's van de softwaretoeleveringsketen is het lekken van geheimen. Er zijn overal in de softwaretoeleveringsketen geheimen; ontwikkelaars en de CI\CD-pijplijnen moeten geheimen gebruiken om toegang te krijgen tot de SCM, de pijplijn, de artefactregisters, de cloudomgevingen en externe services. En als er overal geheimen zijn, is het een kwestie van tijd […]

Begin augustus bracht het Amerikaanse National Institute of Standards and Technology (NIST) een conceptversie 2.0 uit van zijn baanbrekende Cybersecurity Framework, voor het eerst gepubliceerd in 2014. Er is de afgelopen tien jaar veel veranderd, niet in de laatste plaats het stijgende niveau van cyberveiligheidsbedreigingen die in het oorspronkelijke document bedoeld waren om kritieke […]

We hebben de laatste tijd allemaal veel over SBOM's gehoord. We hoorden over hun nut, hun samenstelling en hun eisen op het gebied van veiligheid en regelgeving. Deze keer wil ik de tijd nemen om te praten over een iets minder bekend segment van de CyclonDX SBOM: de afhankelijkheidsgrafiek. Anders dan de naam doet vermoeden is de Dependency Graph geen […]

Er is de afgelopen jaren veel geschreven over de SBOM – Software Bill Of Materials. Door al deze bekendheid hebben mensen het gevoel dat ze goed genoeg weten wat het is om uit te leggen: het is een lijst met software-ingrediënten, het is belangrijk voor transparantie en veiligheid, en het helpt voorbijgaande afhankelijkheden bloot te leggen. Alle […]

Valint is de belangrijkste Scribe-tool voor het maken, beheren, ondertekenen en verifiëren van bewijsmateriaal. In een vorige post hebben we de theorie besproken van het gebruik van het ondertekenen en verifiëren van bewijsmateriaal als een belangrijk hulpmiddel bij het valideren van de veiligheid van uw CI/CD-pijplijn. Ter korte herinnering: het door Scribe voorgestelde model bevat verschillende bouwstenen die door elkaar kunnen worden geschud en […]

In september 2022 heeft het Amerikaanse Office of Management and Budget (OMB) een baanbrekende memo uitgegeven over de stappen die nodig zijn om uw softwaretoeleveringsketen te beveiligen in een mate die aanvaardbaar is voor de Amerikaanse federale overheid. Elk bedrijf dat zaken wil doen met de overheid en elk federaal agentschap dat software produceert, moet voldoen aan de […]

CVE-scans (Common Vulnerabilities and Exposures) zijn essentieel voor het beveiligen van uw softwareapplicaties. Met de toenemende complexiteit van softwarestacks kan het echter een uitdaging zijn om alle CVE’s te identificeren en aan te pakken. Een van de grootste problemen met CVE-scans vandaag de dag is het voorkomen van valse positieven, waarbij een kwetsbaarheid wordt geïdentificeerd in een pakket dat niet […]

In maart 2023 bracht het Witte Huis een nieuwe nationale cyberbeveiligingsstrategie uit. De strategie schetst een lijst van vijf pijlers die het Witte Huis van cruciaal belang acht voor het verbeteren van de cyberveiligheid voor alle Amerikanen, zowel de publieke als de private sector. De derde pijler gaat over de drang om de marktkrachten vorm te geven om de veiligheid en veerkracht te verbeteren. Een deel daarvan […]

In april 2023 heeft CISA een nieuwe gezamenlijke gids voor softwarebeveiliging uitgebracht, getiteld Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. De gids is samengesteld met medewerking van negen verschillende instanties, waaronder onder meer de NSA, het Australian Cyber ​​Security Centre (ACSC) en het Duitse Federale Bureau voor Informatiebeveiliging (BSI). Het feit dat […]