Кибер Риск

В современном цифровом мире безопасность программного обеспечения имеет первостепенное значение. Агентство национальной безопасности (АНБ) в сотрудничестве с Агентством кибербезопасности и безопасности инфраструктуры (CISA) разработало комплексные рекомендации по управлению спецификациями программного обеспечения (SBOM). Эти рекомендации имеют решающее значение для организаций, стремящихся укрепить свою позицию в области кибербезопасности и снизить риски в цепочке поставок программного обеспечения. Почему […]

В сегодняшней взаимосвязанной цифровой среде обеспечение безопасности вашей цепочки поставок программного обеспечения имеет первостепенное значение. Цепочка поставок программного обеспечения включает в себя все процессы и компоненты, участвующие в разработке, создании и развертывании программного обеспечения, и она все чаще подвергается кибератакам. Поработав со многими компаниями и используя обширный отраслевой опыт, я могу с уверенностью поделиться некоторыми […]

Что такое бэкдор XZ Utils (CVE-2024-3094)? CVE-2024-3094, опубликованная в начале апреля 2024 года, представляет собой бэкдор, злонамеренно вставленный в утилиту Linux. Он был обнаружен Андресом Фройндом, любопытным и заботящимся о безопасности инженером-программистом Microsoft, который находился на грани интеграции в основные дистрибутивы Linux. Если бы это удалось, невообразимое количество серверов […]

Добро пожаловать обратно во вторую часть нашей серии блогов, где мы углубимся в мощные возможности Valint. В этой статье мы сосредоточимся на механизме политики Valint и его ключевой роли в обеспечении соблюдения требований во всей вашей цепочке поставок. В нашей предыдущей публикации в блоге мы представили обзор принципов дизайна Валинта. Как механизм политики […]

С ростом сложности приложений и распространением угроз безопасности обеспечение безопасности программных приложений стало серьезной проблемой для организаций. Управление состоянием безопасности приложений (ASPM) является решением этих проблем, обеспечивая основу для улучшения прозрачности, управления уязвимостями и обеспечения контроля безопасности на протяжении всего жизненного цикла разработки программного обеспечения. […]

Специфика того, что происходит внутри конвейеров CI/CD, печально известна непрозрачностью. Несмотря на то, что вы написали файл конфигурации YAML, который представляет собой список инструкций конвейера, как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство трубопроводов совершенно кратковременны, поэтому даже в случае неисправности […]

Структура безопасной разработки программного обеспечения (SSDF), также известная как NIST SP800-218, представляет собой набор руководящих принципов, разработанных NIST в ответ на Исполнительный указ 14028, который направлен на повышение уровня кибербезопасности Соединенных Штатов, особенно в отношении безопасности цепочки поставок программного обеспечения. SSDF — это фреймворк передового опыта, а не стандарт. Хотя это особенно актуально для организаций, которые […]

Справочная информация SLSA (уровни цепочки поставок для артефактов программного обеспечения) — это структура безопасности, целью которой является предотвращение несанкционированного доступа, повышение целостности и защита пакетов и инфраструктуры. Основная концепция SLSA заключается в том, что программному артефакту можно доверять только в том случае, если он соответствует трем требованиям: Артефакт должен иметь документ происхождения, описывающий его происхождение и процесс создания […]

«Поставщики программного обеспечения должны нести ответственность, если они не выполняют свои обязанности по обеспечению заботы о потребителях, предприятиях или поставщиках критически важной инфраструктуры» (Белый дом). Сегодня ожидается, что любой поставщик программного обеспечения возьмет на себя большую ответственность за обеспечение целостности и безопасности программного обеспечения посредством договорных соглашений, выпусков и обновлений программного обеспечения, уведомлений и […]

TL;DR В последние годы технологическая индустрия горячо отстаивает концепцию «сдвига влево» в разработке программного обеспечения, выступая за раннюю интеграцию методов обеспечения безопасности в жизненный цикл разработки. Это движение направлено на то, чтобы дать разработчикам ответственность за обеспечение безопасности их кода с самого начала проекта. Однако, хотя намерения, стоящие за этим подходом, […]