Risco cibernético

Este artigo foi coescrito por Mikey Strauss e Viktor Kartashov. Transforme os 10 principais riscos da OWASP em controles automatizados e auditáveis. Em ambientes DevOps modernos, os pipelines de CI/CD são a espinha dorsal da entrega de software. Mas com grande velocidade vem grande exposição. À medida que as organizações aceleram os lançamentos, os invasores estão cada vez mais mirando pipelines inseguros para injetar código malicioso, exfiltrar segredos ou […]

De Relatórios Estáticos à Segurança Conversacional, as equipes de segurança hoje estão imersas em dados: SBOMs, CVEs, resultados de xAST, verificações de conformidade e painéis de risco. Mas os insights muitas vezes ficam presos em painéis que apenas alguns especialistas sabem como consultar. Na Scribe Security, acreditamos que seus dados de segurança devem ser tão acessíveis quanto uma conversa. É por isso que […]

Começa da mesma forma em quase todas as equipes de engenharia. Os desenvolvedores estão se movimentando rapidamente, criando funcionalidades, integrando pacotes de terceiros e, agora, escrevendo código com copilotos de IA. Os pipelines de CI/CD estão funcionando dia e noite, enviando atualizações para a produção mais rápido do que nunca. Os clientes estão satisfeitos com a velocidade. Mas, no fundo, na mente de cada CISO […]

Seu projeto de codificação Vibe está infestado de vulnerabilidades! Desenvolver software com IA passou da ficção científica para a realidade cotidiana. Seu projeto codificado com IA pode funcionar perfeitamente... até que hackers encontrem as falhas. Neste post, abordaremos o caminho de um código gerado por IA repleto de descobertas e vulnerabilidades até um produto confiável, apresentando um […]

Imagine a carga de trabalho de um desenvolvedor: um longo dia de codificação, prazos se aproximando e, então, o temido relatório SAST chega. Centenas de descobertas, cada uma representando uma vulnerabilidade em potencial, cada uma exigindo atenção cuidadosa. O processo é repetitivo, demorado e, sejamos honestos, às vezes um trabalho árduo e desmoralizante. E a situação só piora; a geração de código […]

Este artigo foi escrito em parceria com Viktor Kartashov e Daniel Nebenzahl. O Teste Decisivo do Auditor: Você Consegue Comprovar Seus Builds? "Você consegue provar, definitivamente, que cada imagem de contêiner que você envia foi construída exatamente da maneira que você afirma?" A maioria dos auditores espera uma resposta rápida e confiante – não semanas de refatoração frenética de YAML. O SLSA (Níveis da Cadeia de Suprimentos para […]

Coescrito com Viktor Kartashov. O padrão NIST SP 800–190 fornece diretrizes estruturadas para proteger aplicações em contêineres, abrangendo tudo, desde a procedência da imagem até os controles de tempo de execução. À medida que o uso de contêineres aumenta exponencialmente em ambientes de DevOps acelerados, o alinhamento com esses requisitos torna-se essencial e desafiador. Mas o SP 800–190 aqui é apenas um caso de uso. A ideia principal é […]

O que é in-toto e como ele protege a cadeia de suprimentos de software? Ataques à cadeia de suprimentos de software, como os observados nos últimos anos – 3CX, Codecov e Solarwinds – evidenciaram a fragilidade dos pipelines de desenvolvimento tradicionais. Em resposta, a comunidade de código aberto desenvolveu o in-toto, uma estrutura para garantir a integridade em todas as etapas da entrega de software. O in-toto […]

No cenário de desenvolvimento de software atual, a diversidade de perfis de desenvolvedores é tanto uma força quanto uma vulnerabilidade. A taxonomia anexa — variando de “Bons Desenvolvedores” bem-intencionados, mas imperfeitos, a “Desenvolvedores Cidadãos” usando código gerado por IA e até mesmo “Desenvolvedores Maliciosos” — destaca como níveis variados de experiência, intenção e comportamento podem representar riscos significativos ao ciclo de vida do desenvolvimento de software (SDLC). A Scribe Security aborda […]

A maioria das organizações de software usa múltiplas plataformas para gerenciamento de código, construção, registro, entrega e implantação. Governar a segurança do SDLC e da cadeia de suprimentos de software requer uma plataforma unificada que se estenda além dos recursos nativos do GitHub. O gerenciamento de risco eficaz exige rastreabilidade e governança claras do código para a nuvem — garantindo que cada imagem de contêiner e artefato lançado esteja vinculado a […]