Кибер Риск

В прошлом месяце я наткнулся на эту статью из Dark Reading. Это выглядело очень знакомо. Мне не потребовалось много времени, чтобы понять, что уязвимость отравления артефактами перекрестных рабочих процессов GitHub, обсуждаемая в статье, поразительно похожа на уязвимость отравления кэша перекрестных рабочих процессов GitHub, о которой мы сообщали в марте 2022 года. Рабочие процессы GitHub — ключевой компонент GitHub […]

Благодаря растущему использованию сторонних компонентов и длинным цепочкам поставок программного обеспечения злоумышленники теперь могут скомпрометировать множество программных пакетов одновременно с помощью одного эксплойта. В ответ на этот новый вектор атаки все больше команд разработчиков и DevOps, а также специалистов по безопасности стремятся включить спецификацию программного обеспечения (SBOM). Цепочка поставок программного обеспечения […]

Риски, с которыми сталкиваются цепочки поставок программного обеспечения, заняли свое место в центре разговоров в экосистеме кибербезопасности. Частично это связано с увеличением частоты подобных атак на цепочки поставок, но также и с потенциально далеко идущими последствиями, которые они оказывают, когда они все-таки происходят. Данные за 2021 год показали атаки на цепочки поставок программного обеспечения […]

Глобальная цепочка поставок программного обеспечения всегда находится под угрозой со стороны киберпреступников, которые угрожают украсть конфиденциальную информацию или интеллектуальную собственность и поставить под угрозу целостность системы. Эти проблемы могут повлиять на коммерческие компании, а также на способность правительства безопасно и надежно предоставлять услуги населению. Управление управления и бюджета США (OMB) […]

Когда три правительственных агентства США собираются вместе, чтобы «настоятельно поощрять» разработчиков применять определенные методы, вам следует обратить на это внимание. CISA, АНБ и ODNI, признавая угрозу киберхакеров и после атаки SolarWinds, объявили, что они будут совместно публиковать сборник рекомендаций по обеспечению безопасности поставок программного обеспечения […]

Правительство США находится в процессе обновления своей политики кибербезопасности. Сюда входит выпуск Secure Software Development Framework (SSDF) версии 1.1 Национальным институтом стандартов и технологий (NIST), целью которого является снижение уязвимостей безопасности на протяжении жизненного цикла разработки программного обеспечения (SDLC). Документ предоставляет поставщикам и покупателям программного обеспечения « […]

Новая атака на цепочку поставок программного обеспечения, предназначенная для извлечения данных из приложений и веб-сайтов, была обнаружена в более чем двух десятках пакетов NPM.

GitGat — это набор автономных политик OPA (Open Policy Agent), написанных на Rego. GitGat оценивает настройки безопасности вашей учетной записи SCM и предоставляет вам отчет о состоянии и практические рекомендации.

Вы не можете доверять подписанным продуктам и обновлениям поставщиков, поскольку ваш собственный код мог уже быть изменен или дополнен. Что же тогда вы можете сделать, чтобы быть уверенным, что вы не устанавливаете вредоносные файлы в свою систему?

22 марта NIST выпустил финальную версию SSDF 1.1 (среды разработки безопасного программного обеспечения). Мы рассмотрим некоторые различия между окончательной версией и предыдущим черновиком.