Наш блог

Сканирование CVE (общие уязвимости и уязвимости) необходимо для защиты ваших программных приложений. Однако с ростом сложности программных стеков выявление и устранение всех CVE может оказаться сложной задачей. Одной из самых больших проблем при сканировании CVE сегодня является распространенность ложных срабатываний, когда уязвимость обнаруживается в пакете, который не […]

В марте 2023 года Белый дом опубликовал новую Национальную стратегию кибербезопасности. В стратегии изложен список из пяти столпов, которые Белый дом считает критически важными для улучшения кибербезопасности для всех американцев, как в государственном, так и в частном секторе. Третий столп связан со стремлением сформировать рыночные силы для повышения безопасности и устойчивости. Часть этого […]

В апреле 2023 года CISA выпустило новое совместное руководство по безопасности программного обеспечения под названием «Сдвиг баланса рисков кибербезопасности: принципы безопасности при проектировании и по умолчанию». Руководство было составлено в сотрудничестве с 9 различными агентствами, включая АНБ, Австралийский центр кибербезопасности (ACSC) и Федеральное управление информационной безопасности Германии (BSI) и других. Дело в том, что […]

20 марта OpenAI на несколько часов отключила популярный инструмент генеративного искусственного интеллекта ChatGPT. Позже компания признала, что причиной сбоя стала уязвимость в цепочке поставок программного обеспечения, возникшая в библиотеке хранилища данных в памяти с открытым исходным кодом Redis. В результате этой уязвимости возник временной интервал (между 1-10 часами ночи […]

В апреле 2023 года DHS, CISA, DOE и CESER опубликовали отчет под названием «Отчет о жизненном цикле совместного использования программного обеспечения (SBOM)». Цель отчета заключалась в том, чтобы изучить текущие способы, которыми люди делятся SBOM, а также в общих чертах обрисовать, как этот обмен можно было бы сделать лучше, с большей изощренностью, чтобы […]

Поскольку все становятся все более осведомленными, защита цепочек поставок программного обеспечения должна стать жизненно важной частью стратегии кибербезопасности каждой организации. Одной из основных трудностей в создании комплексной стратегии по снижению угроз в цепочках поставок программного обеспечения является сложность и разнообразие цепочек поставок. Каждая цепочка поставок уникальна, и ее элементы […]

В конце марта 2023 года исследователи безопасности раскрыли сложную атаку злоумышленника на цепочку поставок программного обеспечения на программное обеспечение для бизнес-коммуникаций от 3CX, в основном на настольное приложение компании для голосовых и видеозвонков. Исследователи предупредили, что приложение каким-то образом было заражено трояном и что его использование может подвергнуть организацию возможной схеме эксфильтрации со стороны злоумышленника. […]

Конвейеры CI/CD, как известно, непрозрачны в отношении того, что именно происходит внутри. Даже если вы написали файл конфигурации YAML (список инструкций конвейера), как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство конвейеров совершенно эфемерны, поэтому даже если произойдет что-то плохое, […]

OpenSSL — это широко используемая библиотека программного обеспечения с открытым исходным кодом для реализации безопасной связи через компьютерные сети. Насколько широко используется? Что ж, есть вероятность, что если вы когда-либо заходили на веб-страницу HTTPS, вы делали это с помощью шифрования OpenSSL. Библиотека предоставляет криптографические функции и протоколы для шифрования, дешифрования, аутентификации и проверки цифровой подписи данных. OpenSSL может быть […]

Успешные кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали, выпустив президентский указ […]