Blog

O que é o backdoor do XZ Utils (CVE-2024-3094)? CVE-2024-3094, publicado no início de abril de 2024, é um backdoor inserido maliciosamente em um utilitário Linux. Ele foi detectado por Andres Freund, um engenheiro de software da Microsoft curioso e atento à segurança, prestes a ser integrado às principais distribuições do Linux. Se isso tivesse sido bem sucedido, um número inimaginável de servidores [...]

Imagine a próxima reunião do conselho. Você, um líder de segurança em sua organização, apresentará sua apresentação padrão com riscos, mitigações e incidentes. Em seguida, um dos conselheiros perguntará: Como vocês estão se preparando para proteger as novas tecnologias de IA e os pipelines de MLOps que a empresa já utiliza? Aqui está sua resposta. IA […]

Bem-vindo de volta à segunda parte da nossa série de blogs, onde nos aprofundamos nas poderosas capacidades do Valint. Neste artigo, focaremos no mecanismo de políticas da Valint e em seu papel fundamental na garantia da conformidade em toda a sua cadeia de suprimentos. Em nossa postagem anterior, fornecemos uma visão geral dos princípios de design da Valint. Como o mecanismo de política [...]

Com a crescente complexidade das aplicações e a proliferação de ameaças à segurança, garantir a segurança das aplicações de software tornou-se um desafio significativo para as organizações. O Application Security Posture Management (ASPM) surge como uma solução para esses desafios, fornecendo uma estrutura para melhorar a visibilidade, gerenciar vulnerabilidades e impor controles de segurança em todo o ciclo de vida de desenvolvimento de software. O […]

As especificidades do que acontece dentro dos pipelines de CI/CD são notoriamente opacas. Apesar de ter escrito o arquivo de configuração YAML, que é a lista de instruções do pipeline, como você pode ter certeza de que tudo acontece exatamente como está descrito? Pior ainda, a maioria dos gasodutos são inteiramente transitórios, por isso, mesmo em caso de avaria, […]

O Secure Software Development Framework (SSDF), também conhecido como NIST SP800-218, é um conjunto de diretrizes desenvolvido pelo NIST em resposta à Ordem Executiva 14028, que se concentra em melhorar a postura de segurança cibernética dos Estados Unidos, particularmente no que diz respeito à segurança da cadeia de fornecimento de software. SSDF é uma estrutura de práticas recomendadas, não um padrão. Embora seja particularmente relevante para organizações que [...]

Antecedentes SLSA (Níveis da cadeia de suprimentos para artefatos de software) é uma estrutura de segurança que visa prevenir adulterações, melhorar a integridade e proteger pacotes e infraestrutura. O conceito central do SLSA é que um artefato de software só pode ser confiável se cumprir três requisitos: O artefato deve ter um documento de proveniência descrevendo sua origem e processo de construção [...]

״Os fornecedores de software devem ser responsabilizados quando não cumprem o dever de cuidado que devem aos consumidores, empresas ou fornecedores de infraestrutura crítica ״(a Casa Branca). Hoje, espera-se que qualquer fornecedor de software assuma maior responsabilidade por garantir a integridade e segurança do software através de acordos contratuais, lançamentos e atualizações de software, notificações e […]

TL;DR Nos últimos anos, a indústria de tecnologia tem defendido fervorosamente o conceito de “mudança para a esquerda” no desenvolvimento de software, defendendo a integração precoce de práticas de segurança no ciclo de vida de desenvolvimento. Este movimento visa capacitar os desenvolvedores com a responsabilidade de garantir a segurança do seu código desde o início do projeto. No entanto, embora as intenções por trás desta abordagem sejam [...]

A indústria ainda não compreendeu totalmente a ideia de um SBOM e já começamos a ouvir um novo termo – ML-BOM – Lista de Materiais de Aprendizado de Máquina. Antes que o pânico se instale, vamos entender por que tal BOM deve ser produzido, os desafios na geração de um ML-BOM e como pode ser esse ML-BOM. […]