Onze blog

De traditionele aanpak voor het beveiligen van softwareproducten is gericht op het elimineren van kwetsbaarheden in aangepaste code en het beschermen van applicaties tegen bekende risico's in afhankelijkheden van derden. Deze methode is echter ontoereikend en slaagt er niet in om de volledige omvang van de bedreigingen van de softwaretoeleveringsketen aan te pakken. Het nalaten om elk aspect van deze keten te beveiligen, van productie tot distributie […]

Vorige maand kwam ik dit artikel van Dark Reading tegen. Het zag er heel bekend uit. Het duurde niet lang voordat ik me realiseerde dat de in het artikel besproken kwetsbaarheid voor cross-workflow artefactvergiftiging in GitHub een opvallende gelijkenis vertoonde met de kwetsbaarheid voor cross-workflow cachevergiftiging in GitHub waarover we in maart 2022 berichtten. GitHub-workflows: een belangrijk onderdeel van GitHub […]

Door het toenemende gebruik van componenten van derden en de lange toeleveringsketens van software kunnen aanvallers nu via één enkele exploit veel softwarepakketten tegelijk in gevaar brengen. Als reactie op deze nieuwe aanvalsvector willen steeds meer ontwikkelings- en DevOps-teams, evenals beveiligingsprofessionals, een Software Bill of Materials (SBOM) integreren. De softwaretoeleveringsketen […]

De risico’s waarmee softwaretoeleveringsketens worden geconfronteerd, hebben een prominente plaats ingenomen in de gesprekken in het cybersecurity-ecosysteem. Dit komt deels door de toegenomen frequentie van deze supply chain-aanvallen, maar ook door de potentieel verstrekkende gevolgen die ze hebben als ze plaatsvinden. Uit cijfers uit 2021 blijkt dat aanvallen op de software-toeleveringsketen […]

De wereldwijde toeleveringsketen van software wordt voortdurend bedreigd door cybercriminelen die dreigen gevoelige informatie of intellectueel eigendom te stelen en de systeemintegriteit in gevaar te brengen. Deze problemen kunnen van invloed zijn op commerciële bedrijven en op het vermogen van de overheid om op veilige en betrouwbare wijze diensten aan het publiek te leveren. Het Amerikaanse Office of Management and Budget (OMB) […]

Wanneer drie Amerikaanse overheidsinstanties samenkomen om ontwikkelaars “sterk aan te moedigen” om bepaalde praktijken toe te passen, moet u opletten. De CISA, NSA en ODNI hebben, als erkenning van de dreiging van cyberhackers en in de nasleep van de SolarWinds-aanval, aangekondigd dat zij gezamenlijk een verzameling aanbevelingen zullen publiceren voor het veiligstellen van de softwarevoorziening […]

De Amerikaanse regering is bezig haar cyberveiligheidsbeleid te herzien. Dit omvat de release van Secure Software Development Framework (SSDF) versie 1.1 door het National Institute of Standards and Technology (NIST), dat tot doel heeft de beveiligingskwetsbaarheden gedurende de Software Development Life Cycle (SDLC) te verminderen. Het document biedt softwareleveranciers en kopers “een […]

In ruim twintig NPM-pakketten werd een nieuwe software-supply chain-aanval aangetroffen, ontworpen om gegevens uit applicaties en websites te extraheren.

GitGat is een reeks op zichzelf staande OPA-beleidsregels (Open Policy Agent), geschreven in Rego. GitGat evalueert de beveiligingsinstellingen van uw SCM-account en biedt u een statusrapport en bruikbare aanbevelingen.

U kunt de ondertekende producten en updates van leveranciers niet vertrouwen en uw eigen code is mogelijk al gewijzigd of toegevoegd. Wat kunt u dan doen om er echt zeker van te zijn dat u geen kwaadaardige bestanden op uw systeem installeert?