Наш блог

OpenSSL — это широко используемая библиотека программного обеспечения с открытым исходным кодом для реализации безопасной связи через компьютерные сети. Насколько широко используется? Что ж, есть вероятность, что если вы когда-либо заходили на веб-страницу HTTPS, вы делали это с помощью шифрования OpenSSL. Библиотека предоставляет криптографические функции и протоколы для шифрования, дешифрования, аутентификации и проверки цифровой подписи данных. OpenSSL может быть […]

Успешные кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали, выпустив президентский указ […]

Автоматизированные конвейеры CI/CD (непрерывная интеграция/непрерывная доставка) используются для ускорения разработки. Замечательно иметь триггеры или планирование, которые берут ваш код, объединяют его, создают, тестируют и автоматически отправляют. Однако то, что они были созданы для скорости и простоты использования, означает, что большинство трубопроводов по своей сути не обеспечивают безопасность в […]

Скорость обнаружения новых уязвимостей постоянно увеличивается. В настоящее время оно составляет в среднем 15,000 2022 CVE в год. 26,000 год выделяется тем, что было зарегистрировано более XNUMX XNUMX новых CVE. Очевидно, что не все уязвимости имеют отношение к вашему программному обеспечению. Чтобы выяснить, является ли конкретная уязвимость проблемой, вам сначала нужно выяснить, […]

Несмотря на растущее внедрение спецификации программного обеспечения (SBOM) в качестве инструмента управления уязвимостями и кибербезопасности, многие организации все еще пытаются понять два наиболее популярных формата SBOM, используемых сегодня: SPDX и CycloneDX. В этой статье мы сравним эти два формата, чтобы помочь вам выбрать правильный для […]

Традиционный подход к обеспечению безопасности программных продуктов направлен на устранение уязвимостей в пользовательском коде и защиту приложений от известных рисков, связанных со сторонними зависимостями. Однако этот метод неадекватен и не способен устранить весь спектр угроз, исходящих от цепочки поставок программного обеспечения. Пренебрежение безопасностью каждого аспекта этой цепочки, от производства до распределения, […]

В прошлом месяце я наткнулся на эту статью из Dark Reading. Это выглядело очень знакомо. Мне не потребовалось много времени, чтобы понять, что уязвимость отравления артефактами перекрестных рабочих процессов GitHub, обсуждаемая в статье, поразительно похожа на уязвимость отравления кэша перекрестных рабочих процессов GitHub, о которой мы сообщали в марте 2022 года. Рабочие процессы GitHub — ключевой компонент GitHub […]

Благодаря растущему использованию сторонних компонентов и длинным цепочкам поставок программного обеспечения злоумышленники теперь могут скомпрометировать множество программных пакетов одновременно с помощью одного эксплойта. В ответ на этот новый вектор атаки все больше команд разработчиков и DevOps, а также специалистов по безопасности стремятся включить спецификацию программного обеспечения (SBOM). Цепочка поставок программного обеспечения […]

Риски, с которыми сталкиваются цепочки поставок программного обеспечения, заняли свое место в центре разговоров в экосистеме кибербезопасности. Частично это связано с увеличением частоты подобных атак на цепочки поставок, но также и с потенциально далеко идущими последствиями, которые они оказывают, когда они все-таки происходят. Данные за 2021 год показали атаки на цепочки поставок программного обеспечения […]

Глобальная цепочка поставок программного обеспечения всегда находится под угрозой со стороны киберпреступников, которые угрожают украсть конфиденциальную информацию или интеллектуальную собственность и поставить под угрозу целостность системы. Эти проблемы могут повлиять на коммерческие компании, а также на способность правительства безопасно и надежно предоставлять услуги населению. Управление управления и бюджета США (OMB) […]