TL;DR Nos últimos anos, a indústria de tecnologia tem defendido fervorosamente o conceito de “mudança para a esquerda” no desenvolvimento de software, defendendo a integração precoce de práticas de segurança no ciclo de vida de desenvolvimento. Este movimento visa capacitar os desenvolvedores com a responsabilidade de garantir a segurança do seu código desde o início do projeto. No entanto, embora as intenções por trás desta abordagem sejam [...]
Ler maisA indústria ainda não compreendeu totalmente a ideia de um SBOM e já começamos a ouvir um novo termo – ML-BOM – Lista de Materiais de Aprendizado de Máquina. Antes que o pânico se instale, vamos entender por que tal BOM deve ser produzido, os desafios na geração de um ML-BOM e como pode ser esse ML-BOM. […]
Ler maisUm dos riscos da cadeia de fornecimento de software é o vazamento de segredos. Os segredos estão por toda a cadeia de fornecimento de software; os desenvolvedores e os pipelines de CI\CD precisam usar segredos para acessar o SCM, o pipeline, os registros de artefatos, os ambientes de nuvem e os serviços externos. E quando os segredos estão por toda parte, é uma questão de tempo […]
Ler maisNo início de agosto, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA lançou um rascunho da versão 2.0 de seu marco de referência em segurança cibernética, publicado pela primeira vez em 2014. Muita coisa mudou nos últimos 10 anos, entre as quais o nível crescente de ameaças à segurança cibernética que o documento original estabeleceu para ajudar […]
Ler maisTodos nós ouvimos muito sobre SBOMs recentemente. Ouvimos falar da sua utilidade, da sua composição e dos seus requisitos de segurança e regulamentação. Desta vez quero falar sobre um segmento um pouco menos conhecido do CyclonDX SBOM – o Gráfico de Dependência. Ao contrário do que o nome indica, o Gráfico de Dependência não é um [...]
Ler maisMuitas palavras foram escritas nos últimos anos sobre o SBOM – Software Bill Of Materials. Com toda essa exposição, as pessoas sentem que sabem o que é bom o suficiente para explicar – é uma lista de ingredientes de software, é importante para transparência e segurança e ajuda a expor dependências transitórias. Todos […]
Ler maisValint é a principal ferramenta do Scribe para criar, gerenciar, assinar e verificar evidências. Em uma postagem anterior, abordamos a teoria do uso de assinatura e verificação de evidências como ferramenta principal na validação da segurança do seu pipeline de CI/CD. Como um breve lembrete, o modelo proposto pelo Scribe inclui vários blocos de construção que podem ser embaralhados e […]
Ler maisEm setembro de 2022, o Escritório de Gestão e Orçamento dos Estados Unidos (OMB) emitiu um memorando histórico sobre as etapas necessárias para proteger sua cadeia de fornecimento de software em um grau aceitável pelo governo federal dos EUA. Qualquer empresa que deseje fazer negócios com o governo e qualquer agência federal que produza software precisa cumprir [...]
Ler maisAs verificações CVE (Vulnerabilidades e Exposições Comuns) são essenciais para proteger seus aplicativos de software. No entanto, com a crescente complexidade das pilhas de software, identificar e abordar todos os CVEs pode ser um desafio. Um dos maiores problemas com as verificações CVE hoje é a prevalência de falsos positivos, onde uma vulnerabilidade é identificada em um pacote que não é […]
Ler maisEm março de 2023, a Casa Branca lançou uma nova Estratégia Nacional de Segurança Cibernética. A estratégia descreve uma lista de 5 pilares que a Casa Branca considera críticos para melhorar a segurança cibernética de todos os americanos, tanto do setor público como do privado. O terceiro pilar trata do esforço para moldar as forças de mercado para melhorar a segurança e a resiliência. Parte disso […]
Ler mais