Наш блог

Valint — основной инструмент Scribe для создания, управления, подписания и проверки доказательств. В предыдущем посте мы рассмотрели теорию использования подписи и проверки доказательств в качестве основного инструмента проверки безопасности вашего конвейера CI/CD. Напомним, что предложенная Scribe модель включает в себя несколько строительных блоков, которые можно перетасовать и […]

В сентябре 2022 года Управление управления и бюджета США (OMB) опубликовало знаковую записку, касающуюся шагов, необходимых для обеспечения безопасности вашей цепочки поставок программного обеспечения до уровня, приемлемого федеральным правительством США. Любая компания, желающая вести бизнес с правительством и любым федеральным агентством, производящим программное обеспечение, должна соблюдать […]

Сканирование CVE (общие уязвимости и уязвимости) необходимо для защиты ваших программных приложений. Однако с ростом сложности программных стеков выявление и устранение всех CVE может оказаться сложной задачей. Одной из самых больших проблем при сканировании CVE сегодня является распространенность ложных срабатываний, когда уязвимость обнаруживается в пакете, который не […]

В марте 2023 года Белый дом опубликовал новую Национальную стратегию кибербезопасности. В стратегии изложен список из пяти столпов, которые Белый дом считает критически важными для улучшения кибербезопасности для всех американцев, как в государственном, так и в частном секторе. Третий столп связан со стремлением сформировать рыночные силы для повышения безопасности и устойчивости. Часть этого […]

В апреле 2023 года CISA выпустило новое совместное руководство по безопасности программного обеспечения под названием «Сдвиг баланса рисков кибербезопасности: принципы безопасности при проектировании и по умолчанию». Руководство было составлено в сотрудничестве с 9 различными агентствами, включая АНБ, Австралийский центр кибербезопасности (ACSC) и Федеральное управление информационной безопасности Германии (BSI) и других. Дело в том, что […]

20 марта OpenAI на несколько часов отключила популярный инструмент генеративного искусственного интеллекта ChatGPT. Позже компания признала, что причиной сбоя стала уязвимость в цепочке поставок программного обеспечения, возникшая в библиотеке хранилища данных в памяти с открытым исходным кодом Redis. В результате этой уязвимости возник временной интервал (между 1-10 часами ночи […]

В апреле 2023 года DHS, CISA, DOE и CESER опубликовали отчет под названием «Отчет о жизненном цикле совместного использования программного обеспечения (SBOM)». Цель отчета заключалась в том, чтобы изучить текущие способы, которыми люди делятся SBOM, а также в общих чертах обрисовать, как этот обмен можно было бы сделать лучше, с большей изощренностью, чтобы […]

Поскольку все становятся все более осведомленными, защита цепочек поставок программного обеспечения должна стать жизненно важной частью стратегии кибербезопасности каждой организации. Одной из основных трудностей в создании комплексной стратегии по снижению угроз в цепочках поставок программного обеспечения является сложность и разнообразие цепочек поставок. Каждая цепочка поставок уникальна, и ее элементы […]

В конце марта 2023 года исследователи безопасности раскрыли сложную атаку злоумышленника на цепочку поставок программного обеспечения на программное обеспечение для бизнес-коммуникаций от 3CX, в основном на настольное приложение компании для голосовых и видеозвонков. Исследователи предупредили, что приложение каким-то образом было заражено трояном и что его использование может подвергнуть организацию возможной схеме эксфильтрации со стороны злоумышленника. […]

Конвейеры CI/CD, как известно, непрозрачны в отношении того, что именно происходит внутри. Даже если вы написали файл конфигурации YAML (список инструкций конвейера), как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство конвейеров совершенно эфемерны, поэтому даже если произойдет что-то плохое, […]