Наш блог

Автоматизированные конвейеры CI/CD (непрерывная интеграция/непрерывная доставка) используются для ускорения разработки. Замечательно иметь триггеры или планирование, которые берут ваш код, объединяют его, создают, тестируют и автоматически отправляют. Однако то, что они были созданы для скорости и простоты использования, означает, что большинство трубопроводов по своей сути не обеспечивают безопасность в […]

Скорость обнаружения новых уязвимостей постоянно увеличивается. В настоящее время оно составляет в среднем 15,000 2022 CVE в год. 26,000 год выделяется тем, что было зарегистрировано более XNUMX XNUMX новых CVE. Очевидно, что не все уязвимости имеют отношение к вашему программному обеспечению. Чтобы выяснить, является ли конкретная уязвимость проблемой, вам сначала нужно выяснить, […]

Несмотря на растущее внедрение спецификации программного обеспечения (SBOM) в качестве инструмента управления уязвимостями и кибербезопасности, многие организации все еще пытаются понять два наиболее популярных формата SBOM, используемых сегодня: SPDX и CycloneDX. В этой статье мы сравним эти два формата, чтобы помочь вам выбрать правильный для […]

Традиционный подход к обеспечению безопасности программных продуктов направлен на устранение уязвимостей в пользовательском коде и защиту приложений от известных рисков, связанных со сторонними зависимостями. Однако этот метод неадекватен и не способен устранить весь спектр угроз, исходящих от цепочки поставок программного обеспечения. Пренебрежение безопасностью каждого аспекта этой цепочки, от производства до распределения, […]

В прошлом месяце я наткнулся на эту статью из Dark Reading. Это выглядело очень знакомо. Мне не потребовалось много времени, чтобы понять, что уязвимость отравления артефактами перекрестных рабочих процессов GitHub, обсуждаемая в статье, поразительно похожа на уязвимость отравления кэша перекрестных рабочих процессов GitHub, о которой мы сообщали в марте 2022 года. Рабочие процессы GitHub — ключевой компонент GitHub […]

Благодаря растущему использованию сторонних компонентов и длинным цепочкам поставок программного обеспечения злоумышленники теперь могут скомпрометировать множество программных пакетов одновременно с помощью одного эксплойта. В ответ на этот новый вектор атаки все больше команд разработчиков и DevOps, а также специалистов по безопасности стремятся включить спецификацию программного обеспечения (SBOM). Цепочка поставок программного обеспечения […]

Риски, с которыми сталкиваются цепочки поставок программного обеспечения, заняли свое место в центре разговоров в экосистеме кибербезопасности. Частично это связано с увеличением частоты подобных атак на цепочки поставок, но также и с потенциально далеко идущими последствиями, которые они оказывают, когда они все-таки происходят. Данные за 2021 год показали атаки на цепочки поставок программного обеспечения […]

Глобальная цепочка поставок программного обеспечения всегда находится под угрозой со стороны киберпреступников, которые угрожают украсть конфиденциальную информацию или интеллектуальную собственность и поставить под угрозу целостность системы. Эти проблемы могут повлиять на коммерческие компании, а также на способность правительства безопасно и надежно предоставлять услуги населению. Управление управления и бюджета США (OMB) […]

Когда три правительственных агентства США собираются вместе, чтобы «настоятельно поощрять» разработчиков применять определенные методы, вам следует обратить на это внимание. CISA, АНБ и ODNI, признавая угрозу киберхакеров и после атаки SolarWinds, объявили, что они будут совместно публиковать сборник рекомендаций по обеспечению безопасности поставок программного обеспечения […]

Правительство США находится в процессе обновления своей политики кибербезопасности. Сюда входит выпуск Secure Software Development Framework (SSDF) версии 1.1 Национальным институтом стандартов и технологий (NIST), целью которого является снижение уязвимостей безопасности на протяжении жизненного цикла разработки программного обеспечения (SDLC). Документ предоставляет поставщикам и покупателям программного обеспечения « […]