Кибер Риск

Отрасль еще не до конца осознала идею SBOM, и мы уже начали слышать новый термин — ML-BOM — ведомость материалов машинного обучения. Прежде чем начнется паника, давайте разберемся, почему такая спецификация должна быть создана, какие проблемы возникают при создании ML-BOM и как может выглядеть такая ML-BOM. […]

Одним из рисков цепочки поставок программного обеспечения является утечка секретов. Цепочка поставок программного обеспечения окружена секретами; разработчикам и конвейерам CI\CD необходимо использовать секреты для доступа к SCM, конвейеру, реестрам артефактов, облачным средам и внешним службам. А когда тайны повсюду, это вопрос времени […]

В начале августа Национальный институт стандартов и технологий США (NIST) опубликовал проект версии 2.0 своей знаковой концепции кибербезопасности, впервые опубликованной в 2014 году. За последние 10 лет многое изменилось, не последним из которых является растущий уровень кибербезопасности. угрозы кибербезопасности, которые в исходном документе призваны помочь критически важным […]

В последнее время мы все много слышали о SBOM. Мы слышали об их полезности, их составе и требованиях к безопасности и регулированию. На этот раз я хочу поговорить о немного менее известном сегменте SBOM CyclonDX — графе зависимостей. В отличие от названия, подразумевается, что граф зависимостей не является […]

За последние несколько лет было написано много слов о SBOM – Software Bill Of Materials. Несмотря на все это, люди чувствуют, что знают, что достаточно хорошо объяснить — это список компонентов программного обеспечения, он важен для прозрачности и безопасности и помогает выявить временные зависимости. Все […]

Valint — основной инструмент Scribe для создания, управления, подписания и проверки доказательств. В предыдущем посте мы рассмотрели теорию использования подписи и проверки доказательств в качестве основного инструмента проверки безопасности вашего конвейера CI/CD. Напомним, что предложенная Scribe модель включает в себя несколько строительных блоков, которые можно перетасовать и […]

В сентябре 2022 года Управление управления и бюджета США (OMB) опубликовало знаковую записку, касающуюся шагов, необходимых для обеспечения безопасности вашей цепочки поставок программного обеспечения до уровня, приемлемого федеральным правительством США. Любая компания, желающая вести бизнес с правительством и любым федеральным агентством, производящим программное обеспечение, должна соблюдать […]

Сканирование CVE (общие уязвимости и уязвимости) необходимо для защиты ваших программных приложений. Однако с ростом сложности программных стеков выявление и устранение всех CVE может оказаться сложной задачей. Одной из самых больших проблем при сканировании CVE сегодня является распространенность ложных срабатываний, когда уязвимость обнаруживается в пакете, который не […]

В марте 2023 года Белый дом опубликовал новую Национальную стратегию кибербезопасности. В стратегии изложен список из пяти столпов, которые Белый дом считает критически важными для улучшения кибербезопасности для всех американцев, как в государственном, так и в частном секторе. Третий столп связан со стремлением сформировать рыночные силы для повышения безопасности и устойчивости. Часть этого […]

В апреле 2023 года CISA выпустило новое совместное руководство по безопасности программного обеспечения под названием «Сдвиг баланса рисков кибербезопасности: принципы безопасности при проектировании и по умолчанию». Руководство было составлено в сотрудничестве с 9 различными агентствами, включая АНБ, Австралийский центр кибербезопасности (ACSC) и Федеральное управление информационной безопасности Германии (BSI) и других. Дело в том, что […]