Наш блог

За последние несколько лет было написано много слов о SBOM – Software Bill Of Materials. Несмотря на все это, люди чувствуют, что знают, что достаточно хорошо объяснить — это список компонентов программного обеспечения, он важен для прозрачности и безопасности и помогает выявить временные зависимости. Все […]

Valint — основной инструмент Scribe для создания, управления, подписания и проверки доказательств. В предыдущем посте мы рассмотрели теорию использования подписи и проверки доказательств в качестве основного инструмента проверки безопасности вашего конвейера CI/CD. Напомним, что предложенная Scribe модель включает в себя несколько строительных блоков, которые можно перетасовать и […]

В сентябре 2022 года Управление управления и бюджета США (OMB) опубликовало знаковую записку, касающуюся шагов, необходимых для обеспечения безопасности вашей цепочки поставок программного обеспечения до уровня, приемлемого федеральным правительством США. Любая компания, желающая вести бизнес с правительством и любым федеральным агентством, производящим программное обеспечение, должна соблюдать […]

Сканирование CVE (общие уязвимости и уязвимости) необходимо для защиты ваших программных приложений. Однако с ростом сложности программных стеков выявление и устранение всех CVE может оказаться сложной задачей. Одной из самых больших проблем при сканировании CVE сегодня является распространенность ложных срабатываний, когда уязвимость обнаруживается в пакете, который не […]

В марте 2023 года Белый дом опубликовал новую Национальную стратегию кибербезопасности. В стратегии изложен список из пяти столпов, которые Белый дом считает критически важными для улучшения кибербезопасности для всех американцев, как в государственном, так и в частном секторе. Третий столп связан со стремлением сформировать рыночные силы для повышения безопасности и устойчивости. Часть этого […]

В апреле 2023 года CISA выпустило новое совместное руководство по безопасности программного обеспечения под названием «Сдвиг баланса рисков кибербезопасности: принципы безопасности при проектировании и по умолчанию». Руководство было составлено в сотрудничестве с 9 различными агентствами, включая АНБ, Австралийский центр кибербезопасности (ACSC) и Федеральное управление информационной безопасности Германии (BSI) и других. Дело в том, что […]

20 марта OpenAI на несколько часов отключила популярный инструмент генеративного искусственного интеллекта ChatGPT. Позже компания признала, что причиной сбоя стала уязвимость в цепочке поставок программного обеспечения, возникшая в библиотеке хранилища данных в памяти с открытым исходным кодом Redis. В результате этой уязвимости возник временной интервал (между 1-10 часами ночи […]

В апреле 2023 года DHS, CISA, DOE и CESER опубликовали отчет под названием «Отчет о жизненном цикле совместного использования программного обеспечения (SBOM)». Цель отчета заключалась в том, чтобы изучить текущие способы, которыми люди делятся SBOM, а также в общих чертах обрисовать, как этот обмен можно было бы сделать лучше, с большей изощренностью, чтобы […]

Поскольку все становятся все более осведомленными, защита цепочек поставок программного обеспечения должна стать жизненно важной частью стратегии кибербезопасности каждой организации. Одной из основных трудностей в создании комплексной стратегии по снижению угроз в цепочках поставок программного обеспечения является сложность и разнообразие цепочек поставок. Каждая цепочка поставок уникальна, и ее элементы […]

В конце марта 2023 года исследователи безопасности раскрыли сложную атаку злоумышленника на цепочку поставок программного обеспечения на программное обеспечение для бизнес-коммуникаций от 3CX, в основном на настольное приложение компании для голосовых и видеозвонков. Исследователи предупредили, что приложение каким-то образом было заражено трояном и что его использование может подвергнуть организацию возможной схеме эксфильтрации со стороны злоумышленника. […]