Blog

Valint é a principal ferramenta do Scribe para criar, gerenciar, assinar e verificar evidências. Em uma postagem anterior, abordamos a teoria do uso de assinatura e verificação de evidências como ferramenta principal na validação da segurança do seu pipeline de CI/CD. Como um breve lembrete, o modelo proposto pelo Scribe inclui vários blocos de construção que podem ser embaralhados e […]

Em setembro de 2022, o Escritório de Gestão e Orçamento dos Estados Unidos (OMB) emitiu um memorando histórico sobre as etapas necessárias para proteger sua cadeia de fornecimento de software em um grau aceitável pelo governo federal dos EUA. Qualquer empresa que deseje fazer negócios com o governo e qualquer agência federal que produza software precisa cumprir [...]

As verificações CVE (Vulnerabilidades e Exposições Comuns) são essenciais para proteger seus aplicativos de software. No entanto, com a crescente complexidade das pilhas de software, identificar e abordar todos os CVEs pode ser um desafio. Um dos maiores problemas com as verificações CVE hoje é a prevalência de falsos positivos, onde uma vulnerabilidade é identificada em um pacote que não é […]

Em março de 2023, a Casa Branca lançou uma nova Estratégia Nacional de Segurança Cibernética. A estratégia descreve uma lista de 5 pilares que a Casa Branca considera críticos para melhorar a segurança cibernética de todos os americanos, tanto do setor público como do privado. O terceiro pilar trata do esforço para moldar as forças de mercado para melhorar a segurança e a resiliência. Parte disso […]

Em abril de 2023, a CISA lançou um novo guia conjunto para segurança de software chamado Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. O Guia foi composto com a cooperação de 9 agências diferentes, incluindo a NSA, o Australian Cyber ​​Security Centre (ACSC) e o Federal Office for Information Security (BSI) da Alemanha, entre outros. O fato de que […]

Em 20 de março, a OpenAI desativou a popular ferramenta de IA generativa ChatGPT por algumas horas. Posteriormente, admitiu que o motivo da interrupção foi uma vulnerabilidade da cadeia de suprimentos de software originada na biblioteca de armazenamento de dados na memória de código aberto 'Redis'. Como resultado desta vulnerabilidade, houve uma janela de tempo (entre 1h e 10h […]

Em abril de 2023, DHS, CISA, DOE e CESER divulgaram um relatório intitulado 'Relatório de ciclo de vida de compartilhamento da lista de materiais de software (SBOM)'. O objetivo do relatório era examinar as formas atuais pelas quais as pessoas estão compartilhando SBOMs, bem como delinear, em termos gerais, como esse compartilhamento poderia ser feito melhor, com maior sofisticação para […]

À medida que todos estão cada vez mais conscientes, proteger as cadeias de fornecimento de software deve ser uma parte vital da estratégia de segurança cibernética de cada organização. Uma das principais dificuldades na criação de uma estratégia abrangente para mitigar as ameaças à cadeia de abastecimento de software é a complexidade e a diversidade das cadeias de abastecimento. Cada cadeia de abastecimento é única e os elementos [...]

No final de março de 2023, pesquisadores de segurança expuseram um complexo ataque à cadeia de suprimentos de software de um ator ameaçador ao software de comunicação empresarial da 3CX, principalmente ao aplicativo de desktop de chamadas de voz e vídeo da empresa. Os pesquisadores alertaram que o aplicativo foi de alguma forma trojanizado e que seu uso poderia expor a organização a um possível esquema de exfiltração por um agente de ameaça. […]

Os pipelines de CI/CD são notoriamente opacos quanto ao que exatamente acontece dentro deles. Mesmo que tenha sido você quem escreveu o arquivo de configuração YAML (a lista de instruções do pipeline), como pode ter certeza de que tudo acontecerá exatamente como descrito? Pior ainda, a maioria dos pipelines são completamente efêmeros, então mesmo que algo ruim aconteça, não há […]