Наш блог

Справочная информация SLSA (уровни цепочки поставок для артефактов программного обеспечения) — это структура безопасности, целью которой является предотвращение несанкционированного доступа, повышение целостности и защита пакетов и инфраструктуры. Основная концепция SLSA заключается в том, что программному артефакту можно доверять только в том случае, если он соответствует трем требованиям: Артефакт должен иметь документ происхождения, описывающий его происхождение и процесс создания […]

«Поставщики программного обеспечения должны нести ответственность, если они не выполняют свои обязанности по обеспечению заботы о потребителях, предприятиях или поставщиках критически важной инфраструктуры» (Белый дом). Сегодня ожидается, что любой поставщик программного обеспечения возьмет на себя большую ответственность за обеспечение целостности и безопасности программного обеспечения посредством договорных соглашений, выпусков и обновлений программного обеспечения, уведомлений и […]

TL;DR В последние годы технологическая индустрия горячо отстаивает концепцию «сдвига влево» в разработке программного обеспечения, выступая за раннюю интеграцию методов обеспечения безопасности в жизненный цикл разработки. Это движение направлено на то, чтобы дать разработчикам ответственность за обеспечение безопасности их кода с самого начала проекта. Однако, хотя намерения, стоящие за этим подходом, […]

Отрасль еще не до конца осознала идею SBOM, и мы уже начали слышать новый термин — ML-BOM — ведомость материалов машинного обучения. Прежде чем начнется паника, давайте разберемся, почему такая спецификация должна быть создана, какие проблемы возникают при создании ML-BOM и как может выглядеть такая ML-BOM. […]

Одним из рисков цепочки поставок программного обеспечения является утечка секретов. Цепочка поставок программного обеспечения окружена секретами; разработчикам и конвейерам CI\CD необходимо использовать секреты для доступа к SCM, конвейеру, реестрам артефактов, облачным средам и внешним службам. А когда тайны повсюду, это вопрос времени […]

В начале августа Национальный институт стандартов и технологий США (NIST) опубликовал проект версии 2.0 своей знаковой концепции кибербезопасности, впервые опубликованной в 2014 году. За последние 10 лет многое изменилось, не последним из которых является растущий уровень кибербезопасности. угрозы кибербезопасности, которые в исходном документе призваны помочь критически важным […]

В последнее время мы все много слышали о SBOM. Мы слышали об их полезности, их составе и требованиях к безопасности и регулированию. На этот раз я хочу поговорить о немного менее известном сегменте SBOM CyclonDX — графе зависимостей. В отличие от названия, подразумевается, что граф зависимостей не является […]

За последние несколько лет было написано много слов о SBOM – Software Bill Of Materials. Несмотря на все это, люди чувствуют, что знают, что достаточно хорошо объяснить — это список компонентов программного обеспечения, он важен для прозрачности и безопасности и помогает выявить временные зависимости. Все […]

Valint — основной инструмент Scribe для создания, управления, подписания и проверки доказательств. В предыдущем посте мы рассмотрели теорию использования подписи и проверки доказательств в качестве основного инструмента проверки безопасности вашего конвейера CI/CD. Напомним, что предложенная Scribe модель включает в себя несколько строительных блоков, которые можно перетасовать и […]

В сентябре 2022 года Управление управления и бюджета США (OMB) опубликовало знаковую записку, касающуюся шагов, необходимых для обеспечения безопасности вашей цепочки поставок программного обеспечения до уровня, приемлемого федеральным правительством США. Любая компания, желающая вести бизнес с правительством и любым федеральным агентством, производящим программное обеспечение, должна соблюдать […]