Blog

Em abril de 2023, DHS, CISA, DOE e CESER divulgaram um relatório intitulado 'Relatório de ciclo de vida de compartilhamento da lista de materiais de software (SBOM)'. O objetivo do relatório era examinar as formas atuais pelas quais as pessoas estão compartilhando SBOMs, bem como delinear, em termos gerais, como esse compartilhamento poderia ser feito melhor, com maior sofisticação para […]

À medida que todos estão cada vez mais conscientes, proteger as cadeias de fornecimento de software deve ser uma parte vital da estratégia de segurança cibernética de cada organização. Uma das principais dificuldades na criação de uma estratégia abrangente para mitigar as ameaças à cadeia de abastecimento de software é a complexidade e a diversidade das cadeias de abastecimento. Cada cadeia de abastecimento é única e os elementos [...]

No final de março de 2023, pesquisadores de segurança expuseram um complexo ataque à cadeia de suprimentos de software de um ator ameaçador ao software de comunicação empresarial da 3CX, principalmente ao aplicativo de desktop de chamadas de voz e vídeo da empresa. Os pesquisadores alertaram que o aplicativo foi de alguma forma trojanizado e que seu uso poderia expor a organização a um possível esquema de exfiltração por um agente de ameaça. […]

Os pipelines de CI/CD são notoriamente opacos quanto ao que exatamente acontece dentro deles. Mesmo que tenha sido você quem escreveu o arquivo de configuração YAML (a lista de instruções do pipeline), como pode ter certeza de que tudo acontecerá exatamente como descrito? Pior ainda, a maioria dos pipelines são completamente efêmeros, então mesmo que algo ruim aconteça, não há […]

OpenSSL é uma biblioteca de software de código aberto amplamente utilizada para implementar comunicações seguras em redes de computadores. Quão amplamente utilizado? Bem, é provável que, se você já acessou uma página HTTPS, tenha feito isso por meio de criptografia OpenSSL. A biblioteca fornece funções criptográficas e protocolos para criptografia, descriptografia, autenticação e verificação de assinatura digital de dados. OpenSSL pode ser [...]

Os ataques cibernéticos bem-sucedidos contra produtos de hardware e software estão se tornando perturbadoramente frequentes. De acordo com a Cybersecurity Ventures, o cibercrime custou ao mundo cerca de 7 biliões de dólares em 2022. Com um preço tão elevado, não é de admirar que tanto as empresas como os governos estejam atentos. Os EUA lideraram o caminho com a ordem executiva presidencial [...]

Pipelines automatizados de CI/CD (integração contínua/entrega contínua) são usados ​​para acelerar o desenvolvimento. É incrível ter gatilhos ou agendamento que peguem seu código, mesclem-no, construam-no, testem-no e enviem-no automaticamente. No entanto, ter sido construído para ser rápido e fácil de usar significa que a maioria dos pipelines não são inerentemente construídos com segurança em […]

A taxa de divulgação de novas vulnerabilidades aumenta constantemente. Atualmente está em uma média de 15,000 CVEs por ano. 2022 se destaca com mais de 26,000 novos CVEs relatados. Obviamente, nem todas as vulnerabilidades são relevantes para o seu software. Para descobrir se uma vulnerabilidade específica é um problema, primeiro você precisa descobrir [...]

Apesar da crescente adoção da Lista de Materiais de Software (SBOM) para servir como uma ferramenta de gerenciamento de vulnerabilidades e segurança cibernética, muitas organizações ainda lutam para compreender os dois formatos SBOM mais populares em uso atualmente, SPDX e CycloneDX. Neste artigo, compararemos esses dois formatos para ajudá-lo a escolher o certo para […]

A abordagem tradicional para proteger produtos de software concentra-se na eliminação de vulnerabilidades em códigos personalizados e na proteção de aplicativos contra riscos conhecidos em dependências de terceiros. No entanto, este método é inadequado e não aborda toda a gama de ameaças representadas pela cadeia de fornecimento de software. Negligenciar a segurança de todos os aspectos desta cadeia, desde a produção até a distribuição […]