Наш блог

Конвейеры CI/CD, как известно, непрозрачны в отношении того, что именно происходит внутри. Даже если вы написали файл конфигурации YAML (список инструкций конвейера), как вы можете быть уверены, что все происходит именно так, как описано? Хуже того, большинство конвейеров совершенно эфемерны, поэтому даже если произойдет что-то плохое, […]

OpenSSL — это широко используемая библиотека программного обеспечения с открытым исходным кодом для реализации безопасной связи через компьютерные сети. Насколько широко используется? Что ж, есть вероятность, что если вы когда-либо заходили на веб-страницу HTTPS, вы делали это с помощью шифрования OpenSSL. Библиотека предоставляет криптографические функции и протоколы для шифрования, дешифрования, аутентификации и проверки цифровой подписи данных. OpenSSL может быть […]

Успешные кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали, выпустив президентский указ […]

Автоматизированные конвейеры CI/CD (непрерывная интеграция/непрерывная доставка) используются для ускорения разработки. Замечательно иметь триггеры или планирование, которые берут ваш код, объединяют его, создают, тестируют и автоматически отправляют. Однако то, что они были созданы для скорости и простоты использования, означает, что большинство трубопроводов по своей сути не обеспечивают безопасность в […]

Скорость обнаружения новых уязвимостей постоянно увеличивается. В настоящее время оно составляет в среднем 15,000 2022 CVE в год. 26,000 год выделяется тем, что было зарегистрировано более XNUMX XNUMX новых CVE. Очевидно, что не все уязвимости имеют отношение к вашему программному обеспечению. Чтобы выяснить, является ли конкретная уязвимость проблемой, вам сначала нужно выяснить, […]

Несмотря на растущее внедрение спецификации программного обеспечения (SBOM) в качестве инструмента управления уязвимостями и кибербезопасности, многие организации все еще пытаются понять два наиболее популярных формата SBOM, используемых сегодня: SPDX и CycloneDX. В этой статье мы сравним эти два формата, чтобы помочь вам выбрать правильный для […]

Традиционный подход к обеспечению безопасности программных продуктов направлен на устранение уязвимостей в пользовательском коде и защиту приложений от известных рисков, связанных со сторонними зависимостями. Однако этот метод неадекватен и не способен устранить весь спектр угроз, исходящих от цепочки поставок программного обеспечения. Пренебрежение безопасностью каждого аспекта этой цепочки, от производства до распределения, […]

В прошлом месяце я наткнулся на эту статью из Dark Reading. Это выглядело очень знакомо. Мне не потребовалось много времени, чтобы понять, что уязвимость отравления артефактами перекрестных рабочих процессов GitHub, обсуждаемая в статье, поразительно похожа на уязвимость отравления кэша перекрестных рабочих процессов GitHub, о которой мы сообщали в марте 2022 года. Рабочие процессы GitHub — ключевой компонент GitHub […]

Благодаря растущему использованию сторонних компонентов и длинным цепочкам поставок программного обеспечения злоумышленники теперь могут скомпрометировать множество программных пакетов одновременно с помощью одного эксплойта. В ответ на этот новый вектор атаки все больше команд разработчиков и DevOps, а также специалистов по безопасности стремятся включить спецификацию программного обеспечения (SBOM). Цепочка поставок программного обеспечения […]

Риски, с которыми сталкиваются цепочки поставок программного обеспечения, заняли свое место в центре разговоров в экосистеме кибербезопасности. Частично это связано с увеличением частоты подобных атак на цепочки поставок, но также и с потенциально далеко идущими последствиями, которые они оказывают, когда они все-таки происходят. Данные за 2021 год показали атаки на цепочки поставок программного обеспечения […]