As especificidades do que acontece dentro dos pipelines de CI/CD são notoriamente opacas. Apesar de ter escrito o arquivo de configuração YAML, que é a lista de instruções do pipeline, como você pode ter certeza de que tudo acontece exatamente como está descrito? Pior ainda, a maioria dos gasodutos são inteiramente transitórios, por isso, mesmo em caso de avaria, […]
Ler maisO Secure Software Development Framework (SSDF), também conhecido como NIST SP800-218, é um conjunto de diretrizes desenvolvido pelo NIST em resposta à Ordem Executiva 14028, que se concentra em melhorar a postura de segurança cibernética dos Estados Unidos, particularmente no que diz respeito à segurança da cadeia de fornecimento de software. SSDF é uma estrutura de práticas recomendadas, não um padrão. Embora seja particularmente relevante para organizações que [...]
Ler maisAntecedentes SLSA (Níveis da cadeia de suprimentos para artefatos de software) é uma estrutura de segurança que visa prevenir adulterações, melhorar a integridade e proteger pacotes e infraestrutura. O conceito central do SLSA é que um artefato de software só pode ser confiável se cumprir três requisitos: O artefato deve ter um documento de proveniência descrevendo sua origem e processo de construção [...]
Ler mais״Os fornecedores de software devem ser responsabilizados quando não cumprem o dever de cuidado que devem aos consumidores, empresas ou fornecedores de infraestrutura crítica ״(a Casa Branca). Hoje, espera-se que qualquer fornecedor de software assuma maior responsabilidade por garantir a integridade e segurança do software através de acordos contratuais, lançamentos e atualizações de software, notificações e […]
Ler maisTL;DR Nos últimos anos, a indústria de tecnologia tem defendido fervorosamente o conceito de “mudança para a esquerda” no desenvolvimento de software, defendendo a integração precoce de práticas de segurança no ciclo de vida de desenvolvimento. Este movimento visa capacitar os desenvolvedores com a responsabilidade de garantir a segurança do seu código desde o início do projeto. No entanto, embora as intenções por trás desta abordagem sejam [...]
Ler maisA indústria ainda não compreendeu totalmente a ideia de um SBOM e já começamos a ouvir um novo termo – ML-BOM – Lista de Materiais de Aprendizado de Máquina. Antes que o pânico se instale, vamos entender por que tal BOM deve ser produzido, os desafios na geração de um ML-BOM e como pode ser esse ML-BOM. […]
Ler maisUm dos riscos da cadeia de fornecimento de software é o vazamento de segredos. Os segredos estão por toda a cadeia de fornecimento de software; os desenvolvedores e os pipelines de CI\CD precisam usar segredos para acessar o SCM, o pipeline, os registros de artefatos, os ambientes de nuvem e os serviços externos. E quando os segredos estão por toda parte, é uma questão de tempo […]
Ler maisNo início de agosto, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA lançou um rascunho da versão 2.0 de seu marco de referência em segurança cibernética, publicado pela primeira vez em 2014. Muita coisa mudou nos últimos 10 anos, entre as quais o nível crescente de ameaças à segurança cibernética que o documento original estabeleceu para ajudar […]
Ler maisTodos nós ouvimos muito sobre SBOMs recentemente. Ouvimos falar da sua utilidade, da sua composição e dos seus requisitos de segurança e regulamentação. Desta vez quero falar sobre um segmento um pouco menos conhecido do CyclonDX SBOM – o Gráfico de Dependência. Ao contrário do que o nome indica, o Gráfico de Dependência não é um [...]
Ler maisMuitas palavras foram escritas nos últimos anos sobre o SBOM – Software Bill Of Materials. Com toda essa exposição, as pessoas sentem que sabem o que é bom o suficiente para explicar – é uma lista de ingredientes de software, é importante para transparência e segurança e ajuda a expor dependências transitórias. Todos […]
Ler mais