Наш блог

Написано совместно с Виктором Карташовым. Стандарт NIST SP 800–190 содержит структурированные рекомендации по защите контейнерных приложений, охватывающие все: от происхождения образов до элементов управления временем выполнения. Поскольку использование контейнеров в быстро меняющихся средах DevOps стремительно растет, соответствие этим требованиям становится одновременно и необходимым, и сложным. Но SP 800–190 здесь — всего лишь пример использования. Более масштабная идея заключается в том, чтобы […]

Что такое in-toto и как он защищает цепочку поставок ПО? Атаки на цепочку поставок ПО, подобные тем, что наблюдались в последние годы — 3CX, Codecov и Solarwinds — выявили хрупкость традиционных конвейеров разработки. В ответ сообщество разработчиков ПО с открытым исходным кодом разработало in-toto — фреймворк для обеспечения целостности на каждом этапе поставки ПО. In-toto […]

В сегодняшнем ландшафте разработки ПО разнообразие профилей разработчиков является как силой, так и уязвимостью. Прилагаемая таксономия — от благонамеренных, но несовершенных «хороших разработчиков» до «гражданских разработчиков», использующих код, сгенерированный ИИ, и даже «злонамеренных разработчиков» — подчеркивает, как различные уровни опыта, намерений и поведения могут представлять значительные риски жизненного цикла разработки ПО (SDLC). Scribe Security решает […]

В Scribe Security мы считаем, что будущее кибербезопасности зависит от защиты цепочек поставок программного обеспечения изнутри. Вот почему мы гордимся сотрудничеством с Национальным центром передового опыта в области кибербезопасности (NCCoE) в рамках его проекта «Цепочка поставок программного обеспечения и методы безопасности DevOps». Эта инициатива объединяет участников государственного и частного секторов, чтобы изучить, как […]

Большинство организаций, занимающихся разработкой ПО, используют несколько платформ для управления кодом, сборки, регистрации, доставки и развертывания. Управление безопасностью SDLC и цепочки поставок ПО требует единой платформы, которая выходит за рамки собственных возможностей GitHub. Эффективное управление рисками требует четкой прослеживаемости и управления от кода до облака, обеспечивая привязку каждого образа контейнера и выпущенного артефакта к […]

Ландшафт безопасности федерального программного обеспечения претерпевает существенные изменения. В январе 2025 года Белый дом издал новый указ, направленный на укрепление безопасности и прозрачности цепочек поставок стороннего программного обеспечения, используемых федеральными агентствами. Этот мандат вводит важные изменения, которые поставщики программного обеспечения должны понимать и к которым должны быть готовы, особенно с учетом […]

В сегодняшнем быстро развивающемся ландшафте разработки ПО безопасность и соответствие стали первостепенными. Поскольку организации все больше полагаются на сторонние компоненты и программное обеспечение с открытым исходным кодом, понимание того, что находится внутри вашего ПО, никогда не было более важным. Введите спецификацию программного обеспечения (SBOM) — подробный список всех компонентов, библиотек и зависимостей, которые составляют ваше ПО. Интеграция SBOM […]

В последние годы атаки на цепочки поставок программного обеспечения стали серьезной угрозой кибербезопасности, нацеленной на сложные сети взаимоотношений между организациями и их поставщиками. В этой статье рассматриваются примечательные недавние атаки на цепочки поставок, изучается, как они произошли, и обсуждаются стратегии предотвращения и смягчения последствий. От нарушений, которые ставят под угрозу конфиденциальные данные, до атак, которые используют […]

Обеспечение безопасности вашей цепочки поставок ПО начинается с обнаружения и управления вашей «фабрикой ПО» В сегодняшней среде разработки ПО команды работают с децентрализованными активами, такими как репозитории кода, конвейеры сборки и образы контейнеров. Хотя эта распределенная модель обеспечивает гибкость и ускоряет производство, она также фрагментирует активы и усложняет управление и надзор за безопасностью, особенно […]

С ростом сложности цепочек поставок программного обеспечения управление и обеспечение безопасности компонентов программного обеспечения стало более сложным. Чтобы справиться с этим, Software Bill of Materials (SBOM) стал важнейшим инструментом для обеспечения безопасности, прозрачности и соответствия жизненному циклу разработки программного обеспечения. SBOM — это всеобъемлющая запись всех компонентов, используемых при создании […]