Risco cibernético

No cenário digital atual, a segurança do software é fundamental. A Agência de Segurança Nacional (NSA), em colaboração com a Agência de Segurança Cibernética e de Infraestrutura (CISA), estabeleceu diretrizes abrangentes para o gerenciamento da lista de materiais de software (SBOM). Estas diretrizes são cruciais para as organizações que pretendem reforçar a sua postura de segurança cibernética e mitigar os riscos na sua cadeia de fornecimento de software. Por que […]

No cenário digital interconectado de hoje, garantir a segurança da sua cadeia de fornecimento de software é fundamental. A cadeia de fornecimento de software abrange todos os processos e componentes envolvidos no desenvolvimento, construção e implantação de software e é cada vez mais alvo de ataques cibernéticos. Tendo trabalhado com inúmeras empresas e aproveitando a vasta experiência no setor, posso compartilhar com segurança alguns dos [...]

O que é o backdoor do XZ Utils (CVE-2024-3094)? CVE-2024-3094, publicado no início de abril de 2024, é um backdoor inserido maliciosamente em um utilitário Linux. Ele foi detectado por Andres Freund, um engenheiro de software da Microsoft curioso e atento à segurança, prestes a ser integrado às principais distribuições do Linux. Se isso tivesse sido bem sucedido, um número inimaginável de servidores [...]

Bem-vindo de volta à segunda parte da nossa série de blogs, onde nos aprofundamos nas poderosas capacidades do Valint. Neste artigo, focaremos no mecanismo de políticas da Valint e em seu papel fundamental na garantia da conformidade em toda a sua cadeia de suprimentos. Em nossa postagem anterior, fornecemos uma visão geral dos princípios de design da Valint. Como o mecanismo de política [...]

Com a crescente complexidade das aplicações e a proliferação de ameaças à segurança, garantir a segurança das aplicações de software tornou-se um desafio significativo para as organizações. O Application Security Posture Management (ASPM) surge como uma solução para esses desafios, fornecendo uma estrutura para melhorar a visibilidade, gerenciar vulnerabilidades e impor controles de segurança em todo o ciclo de vida de desenvolvimento de software. O […]

As especificidades do que acontece dentro dos pipelines de CI/CD são notoriamente opacas. Apesar de ter escrito o arquivo de configuração YAML, que é a lista de instruções do pipeline, como você pode ter certeza de que tudo acontece exatamente como está descrito? Pior ainda, a maioria dos gasodutos são inteiramente transitórios, por isso, mesmo em caso de avaria, […]

O Secure Software Development Framework (SSDF), também conhecido como NIST SP800-218, é um conjunto de diretrizes desenvolvido pelo NIST em resposta à Ordem Executiva 14028, que se concentra em melhorar a postura de segurança cibernética dos Estados Unidos, particularmente no que diz respeito à segurança da cadeia de fornecimento de software. SSDF é uma estrutura de práticas recomendadas, não um padrão. Embora seja particularmente relevante para organizações que [...]

Antecedentes SLSA (Níveis da cadeia de suprimentos para artefatos de software) é uma estrutura de segurança que visa prevenir adulterações, melhorar a integridade e proteger pacotes e infraestrutura. O conceito central do SLSA é que um artefato de software só pode ser confiável se cumprir três requisitos: O artefato deve ter um documento de proveniência descrevendo sua origem e processo de construção [...]

״Os fornecedores de software devem ser responsabilizados quando não cumprem o dever de cuidado que devem aos consumidores, empresas ou fornecedores de infraestrutura crítica ״(a Casa Branca). Hoje, espera-se que qualquer fornecedor de software assuma maior responsabilidade por garantir a integridade e segurança do software através de acordos contratuais, lançamentos e atualizações de software, notificações e […]

TL;DR Nos últimos anos, a indústria de tecnologia tem defendido fervorosamente o conceito de “mudança para a esquerda” no desenvolvimento de software, defendendo a integração precoce de práticas de segurança no ciclo de vida de desenvolvimento. Este movimento visa capacitar os desenvolvedores com a responsabilidade de garantir a segurança do seu código desde o início do projeto. No entanto, embora as intenções por trás desta abordagem sejam [...]