Blog

Pipelines automatizados de CI/CD (integração contínua/entrega contínua) são usados ​​para acelerar o desenvolvimento. É incrível ter gatilhos ou agendamento que peguem seu código, mesclem-no, construam-no, testem-no e enviem-no automaticamente. No entanto, ter sido construído para ser rápido e fácil de usar significa que a maioria dos pipelines não são inerentemente construídos com segurança em […]

A taxa de divulgação de novas vulnerabilidades aumenta constantemente. Atualmente está em uma média de 15,000 CVEs por ano. 2022 se destaca com mais de 26,000 novos CVEs relatados. Obviamente, nem todas as vulnerabilidades são relevantes para o seu software. Para descobrir se uma vulnerabilidade específica é um problema, primeiro você precisa descobrir [...]

Apesar da crescente adoção da Lista de Materiais de Software (SBOM) para servir como uma ferramenta de gerenciamento de vulnerabilidades e segurança cibernética, muitas organizações ainda lutam para compreender os dois formatos SBOM mais populares em uso atualmente, SPDX e CycloneDX. Neste artigo, compararemos esses dois formatos para ajudá-lo a escolher o certo para […]

A abordagem tradicional para proteger produtos de software concentra-se na eliminação de vulnerabilidades em códigos personalizados e na proteção de aplicativos contra riscos conhecidos em dependências de terceiros. No entanto, este método é inadequado e não aborda toda a gama de ameaças representadas pela cadeia de fornecimento de software. Negligenciar a segurança de todos os aspectos desta cadeia, desde a produção até a distribuição […]

No mês passado, encontrei este artigo da Dark Reading. Parecia muito familiar. Não demorei muito para perceber que a vulnerabilidade de envenenamento de artefato de fluxo de trabalho cruzado do GitHub discutida no artigo tinha uma semelhança impressionante com a vulnerabilidade de envenenamento de cache de fluxo de trabalho cruzado do GitHub que relatamos em março de 2022. Fluxos de trabalho do GitHub – um componente chave do GitHub […]

Com o uso crescente de componentes de terceiros e longas cadeias de fornecimento de software, os invasores podem agora comprometer muitos pacotes de software simultaneamente por meio de uma única exploração. Em resposta a esse novo vetor de ataque, mais equipes de desenvolvimento e DevOps, bem como profissionais de segurança, estão buscando incorporar uma Lista de Materiais de Software (SBOM). A cadeia de suprimentos de software [...]

Os riscos enfrentados pelas cadeias de fornecimento de software ocuparam um lugar na vanguarda das conversas no ecossistema de segurança cibernética. Isto deve-se em parte ao aumento da frequência destes ataques à cadeia de abastecimento, mas também aos impactos potencialmente de longo alcance que têm quando acontecem. Os números de 2021 mostraram ataques à cadeia de fornecimento de software [...]

A cadeia global de fornecimento de software está sempre sob ameaça de criminosos cibernéticos que ameaçam roubar informações confidenciais ou propriedade intelectual e comprometer a integridade do sistema. Estas questões podem afectar as empresas comerciais, bem como a capacidade do governo de prestar serviços ao público de forma segura e fiável. O Escritório de Gestão e Orçamento dos Estados Unidos (OMB) [...]

Quando três agências governamentais dos EUA se reúnem para “encorajar fortemente” os desenvolvedores a adotarem certas práticas, você deve prestar atenção. A CISA, NSA e ODNI, em reconhecimento da ameaça dos hackers cibernéticos e na sequência do ataque à SolarWinds, anunciaram que publicarão em conjunto uma coleção de recomendações para garantir o fornecimento de software […]

O governo dos EUA está em processo de reformulação das suas políticas de segurança cibernética. Isso inclui o lançamento do Secure Software Development Framework (SSDF) versão 1.1 pelo Instituto Nacional de Padrões e Tecnologia (NIST), que visa reduzir vulnerabilidades de segurança em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC). O documento fornece aos fornecedores e adquirentes de software “um [...]