Blog

״Os fornecedores de software devem ser responsabilizados quando não cumprem o dever de cuidado que devem aos consumidores, empresas ou fornecedores de infraestrutura crítica ״(a Casa Branca). Hoje, espera-se que qualquer fornecedor de software assuma maior responsabilidade por garantir a integridade e segurança do software através de acordos contratuais, lançamentos e atualizações de software, notificações e […]

TL;DR Nos últimos anos, a indústria de tecnologia tem defendido fervorosamente o conceito de “mudança para a esquerda” no desenvolvimento de software, defendendo a integração precoce de práticas de segurança no ciclo de vida de desenvolvimento. Este movimento visa capacitar os desenvolvedores com a responsabilidade de garantir a segurança do seu código desde o início do projeto. No entanto, embora as intenções por trás desta abordagem sejam [...]

A indústria ainda não compreendeu totalmente a ideia de um SBOM e já começamos a ouvir um novo termo – ML-BOM – Lista de Materiais de Aprendizado de Máquina. Antes que o pânico se instale, vamos entender por que tal BOM deve ser produzido, os desafios na geração de um ML-BOM e como pode ser esse ML-BOM. […]

Um dos riscos da cadeia de fornecimento de software é o vazamento de segredos. Os segredos estão por toda a cadeia de fornecimento de software; os desenvolvedores e os pipelines de CI\CD precisam usar segredos para acessar o SCM, o pipeline, os registros de artefatos, os ambientes de nuvem e os serviços externos. E quando os segredos estão por toda parte, é uma questão de tempo […]

No início de agosto, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA lançou um rascunho da versão 2.0 de seu marco de referência em segurança cibernética, publicado pela primeira vez em 2014. Muita coisa mudou nos últimos 10 anos, entre as quais o nível crescente de ameaças à segurança cibernética que o documento original estabeleceu para ajudar […]

Todos nós ouvimos muito sobre SBOMs recentemente. Ouvimos falar da sua utilidade, da sua composição e dos seus requisitos de segurança e regulamentação. Desta vez quero falar sobre um segmento um pouco menos conhecido do CyclonDX SBOM – o Gráfico de Dependência. Ao contrário do que o nome indica, o Gráfico de Dependência não é um [...]

Muitas palavras foram escritas nos últimos anos sobre o SBOM – Software Bill Of Materials. Com toda essa exposição, as pessoas sentem que sabem o que é bom o suficiente para explicar – é uma lista de ingredientes de software, é importante para transparência e segurança e ajuda a expor dependências transitórias. Todos […]

Valint é a principal ferramenta do Scribe para criar, gerenciar, assinar e verificar evidências. Em uma postagem anterior, abordamos a teoria do uso de assinatura e verificação de evidências como ferramenta principal na validação da segurança do seu pipeline de CI/CD. Como um breve lembrete, o modelo proposto pelo Scribe inclui vários blocos de construção que podem ser embaralhados e […]

Em setembro de 2022, o Escritório de Gestão e Orçamento dos Estados Unidos (OMB) emitiu um memorando histórico sobre as etapas necessárias para proteger sua cadeia de fornecimento de software em um grau aceitável pelo governo federal dos EUA. Qualquer empresa que deseje fazer negócios com o governo e qualquer agência federal que produza software precisa cumprir [...]

As verificações CVE (Vulnerabilidades e Exposições Comuns) são essenciais para proteger seus aplicativos de software. No entanto, com a crescente complexidade das pilhas de software, identificar e abordar todos os CVEs pode ser um desafio. Um dos maiores problemas com as verificações CVE hoje é a prevalência de falsos positivos, onde uma vulnerabilidade é identificada em um pacote que não é […]