A taxa de divulgação de novas vulnerabilidades aumenta constantemente. Atualmente está em uma média de 15,000 CVEs por ano. 2022 se destaca com mais de 26,000 novos CVEs relatados. Obviamente, nem todas as vulnerabilidades são relevantes para o seu software. Para descobrir se uma vulnerabilidade específica é um problema, primeiro você precisa descobrir [...]
Ler maisApesar da crescente adoção da Lista de Materiais de Software (SBOM) para servir como uma ferramenta de gerenciamento de vulnerabilidades e segurança cibernética, muitas organizações ainda lutam para compreender os dois formatos SBOM mais populares em uso atualmente, SPDX e CycloneDX. Neste artigo, compararemos esses dois formatos para ajudá-lo a escolher o certo para […]
Ler maisNo mês passado, encontrei este artigo da Dark Reading. Parecia muito familiar. Não demorei muito para perceber que a vulnerabilidade de envenenamento de artefato de fluxo de trabalho cruzado do GitHub discutida no artigo tinha uma semelhança impressionante com a vulnerabilidade de envenenamento de cache de fluxo de trabalho cruzado do GitHub que relatamos em março de 2022. Fluxos de trabalho do GitHub – um componente chave do GitHub […]
Ler maisCom o uso crescente de componentes de terceiros e longas cadeias de fornecimento de software, os invasores podem agora comprometer muitos pacotes de software simultaneamente por meio de uma única exploração. Em resposta a esse novo vetor de ataque, mais equipes de desenvolvimento e DevOps, bem como profissionais de segurança, estão buscando incorporar uma Lista de Materiais de Software (SBOM). A cadeia de suprimentos de software [...]
Ler maisOs riscos enfrentados pelas cadeias de fornecimento de software ocuparam um lugar na vanguarda das conversas no ecossistema de segurança cibernética. Isto deve-se em parte ao aumento da frequência destes ataques à cadeia de abastecimento, mas também aos impactos potencialmente de longo alcance que têm quando acontecem. Os números de 2021 mostraram ataques à cadeia de fornecimento de software [...]
Ler maisA cadeia global de fornecimento de software está sempre sob ameaça de criminosos cibernéticos que ameaçam roubar informações confidenciais ou propriedade intelectual e comprometer a integridade do sistema. Estas questões podem afectar as empresas comerciais, bem como a capacidade do governo de prestar serviços ao público de forma segura e fiável. O Escritório de Gestão e Orçamento dos Estados Unidos (OMB) [...]
Ler maisQuando três agências governamentais dos EUA se reúnem para “encorajar fortemente” os desenvolvedores a adotarem certas práticas, você deve prestar atenção. A CISA, NSA e ODNI, em reconhecimento da ameaça dos hackers cibernéticos e na sequência do ataque à SolarWinds, anunciaram que publicarão em conjunto uma coleção de recomendações para garantir o fornecimento de software […]
Ler maisO governo dos EUA está em processo de reformulação das suas políticas de segurança cibernética. Isso inclui o lançamento do Secure Software Development Framework (SSDF) versão 1.1 pelo Instituto Nacional de Padrões e Tecnologia (NIST), que visa reduzir vulnerabilidades de segurança em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC). O documento fornece aos fornecedores e adquirentes de software “um [...]
Ler maisUm novo ataque à cadeia de suprimentos de software projetado para extrair dados de aplicativos e sites foi encontrado em mais de duas dúzias de pacotes NPM.
Ler maisGitGat é um conjunto de políticas OPA (Open Policy Agent) independentes escritas em Rego. GitGat avalia as configurações de segurança da sua conta SCM e fornece um relatório de status e recomendações acionáveis.
Ler mais