Кибер Риск

20 марта OpenAI на несколько часов отключила популярный инструмент генеративного искусственного интеллекта ChatGPT. Позже компания признала, что причиной сбоя стала уязвимость в цепочке поставок программного обеспечения, возникшая в библиотеке хранилища данных в памяти с открытым исходным кодом Redis. В результате этой уязвимости возник временной интервал (между 1-10 часами ночи […]

В апреле 2023 года DHS, CISA, DOE и CESER опубликовали отчет под названием «Отчет о жизненном цикле совместного использования программного обеспечения (SBOM)». Цель отчета заключалась в том, чтобы изучить текущие способы, которыми люди делятся SBOM, а также в общих чертах обрисовать, как этот обмен можно было бы сделать лучше, с большей изощренностью, чтобы […]

Поскольку все становятся все более осведомленными, защита цепочек поставок программного обеспечения должна стать жизненно важной частью стратегии кибербезопасности каждой организации. Одной из основных трудностей в создании комплексной стратегии по снижению угроз в цепочках поставок программного обеспечения является сложность и разнообразие цепочек поставок. Каждая цепочка поставок уникальна, и ее элементы […]

В конце марта 2023 года исследователи безопасности раскрыли сложную атаку злоумышленника на цепочку поставок программного обеспечения на программное обеспечение для бизнес-коммуникаций от 3CX, в основном на настольное приложение компании для голосовых и видеозвонков. Исследователи предупредили, что приложение каким-то образом было заражено трояном и что его использование может подвергнуть организацию возможной схеме эксфильтрации со стороны злоумышленника. […]

Конвейеры CI/CD, как известно, непрозрачны в отношении того, что именно происходит внутри. Даже если вы написали файл конфигурации YAML (список инструкций конвейера), как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство конвейеров совершенно эфемерны, поэтому даже если произойдет что-то плохое, […]

OpenSSL — это широко используемая библиотека программного обеспечения с открытым исходным кодом для реализации безопасной связи через компьютерные сети. Насколько широко используется? Что ж, есть вероятность, что если вы когда-либо заходили на веб-страницу HTTPS, вы делали это с помощью шифрования OpenSSL. Библиотека предоставляет криптографические функции и протоколы для шифрования, дешифрования, аутентификации и проверки цифровой подписи данных. OpenSSL может быть […]

Успешные кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали, выпустив президентский указ […]

Автоматизированные конвейеры CI/CD (непрерывная интеграция/непрерывная доставка) используются для ускорения разработки. Замечательно иметь триггеры или планирование, которые берут ваш код, объединяют его, создают, тестируют и автоматически отправляют. Однако то, что они были созданы для скорости и простоты использования, означает, что большинство трубопроводов по своей сути не обеспечивают безопасность в […]

Скорость обнаружения новых уязвимостей постоянно увеличивается. В настоящее время оно составляет в среднем 15,000 2022 CVE в год. 26,000 год выделяется тем, что было зарегистрировано более XNUMX XNUMX новых CVE. Очевидно, что не все уязвимости имеют отношение к вашему программному обеспечению. Чтобы выяснить, является ли конкретная уязвимость проблемой, вам сначала нужно выяснить, […]

Несмотря на растущее внедрение спецификации программного обеспечения (SBOM) в качестве инструмента управления уязвимостями и кибербезопасности, многие организации все еще пытаются понять два наиболее популярных формата SBOM, используемых сегодня: SPDX и CycloneDX. В этой статье мы сравним эти два формата, чтобы помочь вам выбрать правильный для […]