Blog

Seu projeto de codificação Vibe está infestado de vulnerabilidades! Desenvolver software com IA passou da ficção científica para a realidade cotidiana. Seu projeto codificado com IA pode funcionar perfeitamente... até que hackers encontrem as falhas. Neste post, abordaremos o caminho de um código gerado por IA repleto de descobertas e vulnerabilidades até um produto confiável, apresentando um […]

Imagine a carga de trabalho de um desenvolvedor: um longo dia de codificação, prazos se aproximando e, então, o temido relatório SAST chega. Centenas de descobertas, cada uma representando uma vulnerabilidade em potencial, cada uma exigindo atenção cuidadosa. O processo é repetitivo, demorado e, sejamos honestos, às vezes um trabalho árduo e desmoralizante. E a situação só piora; a geração de código […]

Este artigo foi escrito em parceria com Viktor Kartashov e Daniel Nebenzahl. O Teste Decisivo do Auditor: Você Consegue Comprovar Seus Builds? "Você consegue provar, definitivamente, que cada imagem de contêiner que você envia foi construída exatamente da maneira que você afirma?" A maioria dos auditores espera uma resposta rápida e confiante – não semanas de refatoração frenética de YAML. O SLSA (Níveis da Cadeia de Suprimentos para […]

Coescrito com Viktor Kartashov. O padrão NIST SP 800–190 fornece diretrizes estruturadas para proteger aplicações em contêineres, abrangendo tudo, desde a procedência da imagem até os controles de tempo de execução. À medida que o uso de contêineres aumenta exponencialmente em ambientes de DevOps acelerados, o alinhamento com esses requisitos torna-se essencial e desafiador. Mas o SP 800–190 aqui é apenas um caso de uso. A ideia principal é […]

O que é in-toto e como ele protege a cadeia de suprimentos de software? Ataques à cadeia de suprimentos de software, como os observados nos últimos anos – 3CX, Codecov e Solarwinds – evidenciaram a fragilidade dos pipelines de desenvolvimento tradicionais. Em resposta, a comunidade de código aberto desenvolveu o in-toto, uma estrutura para garantir a integridade em todas as etapas da entrega de software. O in-toto […]

No cenário de desenvolvimento de software atual, a diversidade de perfis de desenvolvedores é tanto uma força quanto uma vulnerabilidade. A taxonomia anexa — variando de “Bons Desenvolvedores” bem-intencionados, mas imperfeitos, a “Desenvolvedores Cidadãos” usando código gerado por IA e até mesmo “Desenvolvedores Maliciosos” — destaca como níveis variados de experiência, intenção e comportamento podem representar riscos significativos ao ciclo de vida do desenvolvimento de software (SDLC). A Scribe Security aborda […]

Na Scribe Security, acreditamos que o futuro da segurança cibernética depende da proteção das cadeias de suprimentos de software de dentro para fora. É por isso que temos orgulho de colaborar com o National Cybersecurity Center of Excellence (NCCoE) em seu projeto Software Supply Chain and DevOps Security Practices. Esta iniciativa reúne contribuidores de tecnologia dos setores público e privado para explorar como […]

A maioria das organizações de software usa múltiplas plataformas para gerenciamento de código, construção, registro, entrega e implantação. Governar a segurança do SDLC e da cadeia de suprimentos de software requer uma plataforma unificada que se estenda além dos recursos nativos do GitHub. O gerenciamento de risco eficaz exige rastreabilidade e governança claras do código para a nuvem — garantindo que cada imagem de contêiner e artefato lançado esteja vinculado a […]

O cenário da segurança de software federal está passando por uma transformação significativa. Em janeiro de 2025, a Casa Branca emitiu uma nova Ordem Executiva com foco no fortalecimento da segurança e transparência das cadeias de fornecimento de software de terceiros usadas por agências federais. Este mandato introduz mudanças cruciais que os provedores de software precisam entender e se preparar, especialmente devido à […]

No cenário de desenvolvimento de software em rápida evolução de hoje, a segurança e a conformidade se tornaram primordiais. À medida que as organizações dependem cada vez mais de componentes de terceiros e software de código aberto, entender o que há dentro do seu software nunca foi tão crítico. Insira a Lista de Materiais de Software (SBOM) — uma lista detalhada de todos os componentes, bibliotecas e dependências que compõem seu software. Integrar SBOMs […]