Наш блог

Специфика того, что происходит внутри конвейеров CI/CD, печально известна непрозрачностью. Несмотря на то, что вы написали файл конфигурации YAML, который представляет собой список инструкций конвейера, как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство трубопроводов совершенно кратковременны, поэтому даже в случае неисправности […]

Структура безопасной разработки программного обеспечения (SSDF), также известная как NIST SP800-218, представляет собой набор руководящих принципов, разработанных NIST в ответ на Исполнительный указ 14028, который направлен на повышение уровня кибербезопасности Соединенных Штатов, особенно в отношении безопасности цепочки поставок программного обеспечения. SSDF — это фреймворк передового опыта, а не стандарт. Хотя это особенно актуально для организаций, которые […]

Справочная информация SLSA (уровни цепочки поставок для артефактов программного обеспечения) — это структура безопасности, целью которой является предотвращение несанкционированного доступа, повышение целостности и защита пакетов и инфраструктуры. Основная концепция SLSA заключается в том, что программному артефакту можно доверять только в том случае, если он соответствует трем требованиям: Артефакт должен иметь документ происхождения, описывающий его происхождение и процесс создания […]

«Поставщики программного обеспечения должны нести ответственность, если они не выполняют свои обязанности по обеспечению заботы о потребителях, предприятиях или поставщиках критически важной инфраструктуры» (Белый дом). Сегодня ожидается, что любой поставщик программного обеспечения возьмет на себя большую ответственность за обеспечение целостности и безопасности программного обеспечения посредством договорных соглашений, выпусков и обновлений программного обеспечения, уведомлений и […]

TL;DR В последние годы технологическая индустрия горячо отстаивает концепцию «сдвига влево» в разработке программного обеспечения, выступая за раннюю интеграцию методов обеспечения безопасности в жизненный цикл разработки. Это движение направлено на то, чтобы дать разработчикам ответственность за обеспечение безопасности их кода с самого начала проекта. Однако, хотя намерения, стоящие за этим подходом, […]

Отрасль еще не до конца осознала идею SBOM, и мы уже начали слышать новый термин — ML-BOM — ведомость материалов машинного обучения. Прежде чем начнется паника, давайте разберемся, почему такая спецификация должна быть создана, какие проблемы возникают при создании ML-BOM и как может выглядеть такая ML-BOM. […]

Одним из рисков цепочки поставок программного обеспечения является утечка секретов. Цепочка поставок программного обеспечения окружена секретами; разработчикам и конвейерам CI\CD необходимо использовать секреты для доступа к SCM, конвейеру, реестрам артефактов, облачным средам и внешним службам. А когда тайны повсюду, это вопрос времени […]

В начале августа Национальный институт стандартов и технологий США (NIST) опубликовал проект версии 2.0 своей знаковой концепции кибербезопасности, впервые опубликованной в 2014 году. За последние 10 лет многое изменилось, не последним из которых является растущий уровень кибербезопасности. угрозы кибербезопасности, которые в исходном документе призваны помочь критически важным […]

В последнее время мы все много слышали о SBOM. Мы слышали об их полезности, их составе и требованиях к безопасности и регулированию. На этот раз я хочу поговорить о немного менее известном сегменте SBOM CyclonDX — графе зависимостей. В отличие от названия, подразумевается, что граф зависимостей не является […]

За последние несколько лет было написано много слов о SBOM – Software Bill Of Materials. Несмотря на все это, люди чувствуют, что знают, что достаточно хорошо объяснить — это список компонентов программного обеспечения, он важен для прозрачности и безопасности и помогает выявить временные зависимости. Все […]