Blog

No mês passado, encontrei este artigo da Dark Reading. Parecia muito familiar. Não demorei muito para perceber que a vulnerabilidade de envenenamento de artefato de fluxo de trabalho cruzado do GitHub discutida no artigo tinha uma semelhança impressionante com a vulnerabilidade de envenenamento de cache de fluxo de trabalho cruzado do GitHub que relatamos em março de 2022. Fluxos de trabalho do GitHub – um componente chave do GitHub […]

Com o uso crescente de componentes de terceiros e longas cadeias de fornecimento de software, os invasores podem agora comprometer muitos pacotes de software simultaneamente por meio de uma única exploração. Em resposta a esse novo vetor de ataque, mais equipes de desenvolvimento e DevOps, bem como profissionais de segurança, estão buscando incorporar uma Lista de Materiais de Software (SBOM). A cadeia de suprimentos de software [...]

Os riscos enfrentados pelas cadeias de fornecimento de software ocuparam um lugar na vanguarda das conversas no ecossistema de segurança cibernética. Isto deve-se em parte ao aumento da frequência destes ataques à cadeia de abastecimento, mas também aos impactos potencialmente de longo alcance que têm quando acontecem. Os números de 2021 mostraram ataques à cadeia de fornecimento de software [...]

A cadeia global de fornecimento de software está sempre sob ameaça de criminosos cibernéticos que ameaçam roubar informações confidenciais ou propriedade intelectual e comprometer a integridade do sistema. Estas questões podem afectar as empresas comerciais, bem como a capacidade do governo de prestar serviços ao público de forma segura e fiável. O Escritório de Gestão e Orçamento dos Estados Unidos (OMB) [...]

Quando três agências governamentais dos EUA se reúnem para “encorajar fortemente” os desenvolvedores a adotarem certas práticas, você deve prestar atenção. A CISA, NSA e ODNI, em reconhecimento da ameaça dos hackers cibernéticos e na sequência do ataque à SolarWinds, anunciaram que publicarão em conjunto uma coleção de recomendações para garantir o fornecimento de software […]

O governo dos EUA está em processo de reformulação das suas políticas de segurança cibernética. Isso inclui o lançamento do Secure Software Development Framework (SSDF) versão 1.1 pelo Instituto Nacional de Padrões e Tecnologia (NIST), que visa reduzir vulnerabilidades de segurança em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC). O documento fornece aos fornecedores e adquirentes de software “um [...]

Um novo ataque à cadeia de suprimentos de software projetado para extrair dados de aplicativos e sites foi encontrado em mais de duas dúzias de pacotes NPM.

GitGat é um conjunto de políticas OPA (Open Policy Agent) independentes escritas em Rego. GitGat avalia as configurações de segurança da sua conta SCM e fornece um relatório de status e recomendações acionáveis.

Você não pode confiar nos produtos assinados e nas atualizações dos fornecedores e seu próprio código pode já ter sido modificado ou adicionado. O que, então, você pode fazer para ter certeza de que não está instalando arquivos maliciosos em seu sistema?

No dia 22 de março o NIST lançou a versão final do SSDF 1.1 (Secure software development framework). Veremos algumas das diferenças entre a versão final e o rascunho anterior.