Blog

As verificações CVE (Vulnerabilidades e Exposições Comuns) são essenciais para proteger seus aplicativos de software. No entanto, com a crescente complexidade das pilhas de software, identificar e abordar todos os CVEs pode ser um desafio. Um dos maiores problemas com as verificações CVE hoje é a prevalência de falsos positivos, onde uma vulnerabilidade é identificada em um pacote que não é […]

Em março de 2023, a Casa Branca lançou uma nova Estratégia Nacional de Segurança Cibernética. A estratégia descreve uma lista de 5 pilares que a Casa Branca considera críticos para melhorar a segurança cibernética de todos os americanos, tanto do setor público como do privado. O terceiro pilar trata do esforço para moldar as forças de mercado para melhorar a segurança e a resiliência. Parte disso […]

Em abril de 2023, a CISA lançou um novo guia conjunto para segurança de software chamado Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. O Guia foi composto com a cooperação de 9 agências diferentes, incluindo a NSA, o Australian Cyber ​​Security Centre (ACSC) e o Federal Office for Information Security (BSI) da Alemanha, entre outros. O fato de que […]

Em 20 de março, a OpenAI desativou a popular ferramenta de IA generativa ChatGPT por algumas horas. Posteriormente, admitiu que o motivo da interrupção foi uma vulnerabilidade da cadeia de suprimentos de software originada na biblioteca de armazenamento de dados na memória de código aberto 'Redis'. Como resultado desta vulnerabilidade, houve uma janela de tempo (entre 1h e 10h […]

Em abril de 2023, DHS, CISA, DOE e CESER divulgaram um relatório intitulado 'Relatório de ciclo de vida de compartilhamento da lista de materiais de software (SBOM)'. O objetivo do relatório era examinar as formas atuais pelas quais as pessoas estão compartilhando SBOMs, bem como delinear, em termos gerais, como esse compartilhamento poderia ser feito melhor, com maior sofisticação para […]

À medida que todos estão cada vez mais conscientes, proteger as cadeias de fornecimento de software deve ser uma parte vital da estratégia de segurança cibernética de cada organização. Uma das principais dificuldades na criação de uma estratégia abrangente para mitigar as ameaças à cadeia de abastecimento de software é a complexidade e a diversidade das cadeias de abastecimento. Cada cadeia de abastecimento é única e os elementos [...]

No final de março de 2023, pesquisadores de segurança expuseram um complexo ataque à cadeia de suprimentos de software de um ator ameaçador ao software de comunicação empresarial da 3CX, principalmente ao aplicativo de desktop de chamadas de voz e vídeo da empresa. Os pesquisadores alertaram que o aplicativo foi de alguma forma trojanizado e que seu uso poderia expor a organização a um possível esquema de exfiltração por um agente de ameaça. […]

Os pipelines de CI/CD são notoriamente opacos quanto ao que exatamente acontece dentro deles. Mesmo que tenha sido você quem escreveu o arquivo de configuração YAML (a lista de instruções do pipeline), como pode ter certeza de que tudo acontecerá exatamente como descrito? Pior ainda, a maioria dos pipelines são completamente efêmeros, então mesmo que algo ruim aconteça, não há […]

OpenSSL é uma biblioteca de software de código aberto amplamente utilizada para implementar comunicações seguras em redes de computadores. Quão amplamente utilizado? Bem, é provável que, se você já acessou uma página HTTPS, tenha feito isso por meio de criptografia OpenSSL. A biblioteca fornece funções criptográficas e protocolos para criptografia, descriptografia, autenticação e verificação de assinatura digital de dados. OpenSSL pode ser [...]

Os ataques cibernéticos bem-sucedidos contra produtos de hardware e software estão se tornando perturbadoramente frequentes. De acordo com a Cybersecurity Ventures, o cibercrime custou ao mundo cerca de 7 biliões de dólares em 2022. Com um preço tão elevado, não é de admirar que tanto as empresas como os governos estejam atentos. Os EUA lideraram o caminho com a ordem executiva presidencial [...]