Risco cibernético

No início de agosto, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA lançou um rascunho da versão 2.0 de seu marco de referência em segurança cibernética, publicado pela primeira vez em 2014. Muita coisa mudou nos últimos 10 anos, entre as quais o nível crescente de ameaças à segurança cibernética que o documento original estabeleceu para ajudar […]

Todos nós ouvimos muito sobre SBOMs recentemente. Ouvimos falar da sua utilidade, da sua composição e dos seus requisitos de segurança e regulamentação. Desta vez quero falar sobre um segmento um pouco menos conhecido do CyclonDX SBOM – o Gráfico de Dependência. Ao contrário do que o nome indica, o Gráfico de Dependência não é um [...]

Muitas palavras foram escritas nos últimos anos sobre o SBOM – Software Bill Of Materials. Com toda essa exposição, as pessoas sentem que sabem o que é bom o suficiente para explicar – é uma lista de ingredientes de software, é importante para transparência e segurança e ajuda a expor dependências transitórias. Todos […]

Valint é a principal ferramenta do Scribe para criar, gerenciar, assinar e verificar evidências. Em uma postagem anterior, abordamos a teoria do uso de assinatura e verificação de evidências como ferramenta principal na validação da segurança do seu pipeline de CI/CD. Como um breve lembrete, o modelo proposto pelo Scribe inclui vários blocos de construção que podem ser embaralhados e […]

Em setembro de 2022, o Escritório de Gestão e Orçamento dos Estados Unidos (OMB) emitiu um memorando histórico sobre as etapas necessárias para proteger sua cadeia de fornecimento de software em um grau aceitável pelo governo federal dos EUA. Qualquer empresa que deseje fazer negócios com o governo e qualquer agência federal que produza software precisa cumprir [...]

As verificações CVE (Vulnerabilidades e Exposições Comuns) são essenciais para proteger seus aplicativos de software. No entanto, com a crescente complexidade das pilhas de software, identificar e abordar todos os CVEs pode ser um desafio. Um dos maiores problemas com as verificações CVE hoje é a prevalência de falsos positivos, onde uma vulnerabilidade é identificada em um pacote que não é […]

Em março de 2023, a Casa Branca lançou uma nova Estratégia Nacional de Segurança Cibernética. A estratégia descreve uma lista de 5 pilares que a Casa Branca considera críticos para melhorar a segurança cibernética de todos os americanos, tanto do setor público como do privado. O terceiro pilar trata do esforço para moldar as forças de mercado para melhorar a segurança e a resiliência. Parte disso […]

Em abril de 2023, a CISA lançou um novo guia conjunto para segurança de software chamado Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. O Guia foi composto com a cooperação de 9 agências diferentes, incluindo a NSA, o Australian Cyber ​​Security Centre (ACSC) e o Federal Office for Information Security (BSI) da Alemanha, entre outros. O fato de que […]

Em 20 de março, a OpenAI desativou a popular ferramenta de IA generativa ChatGPT por algumas horas. Posteriormente, admitiu que o motivo da interrupção foi uma vulnerabilidade da cadeia de suprimentos de software originada na biblioteca de armazenamento de dados na memória de código aberto 'Redis'. Como resultado desta vulnerabilidade, houve uma janela de tempo (entre 1h e 10h […]

Em abril de 2023, DHS, CISA, DOE e CESER divulgaram um relatório intitulado 'Relatório de ciclo de vida de compartilhamento da lista de materiais de software (SBOM)'. O objetivo do relatório era examinar as formas atuais pelas quais as pessoas estão compartilhando SBOMs, bem como delinear, em termos gerais, como esse compartilhamento poderia ser feito melhor, com maior sofisticação para […]