网络风险

什么是 XZ Utils (CVE-2024-3094) 后门？ CVE-2024-3094 于 2024 年 XNUMX 月上旬发布，是恶意插入 Linux 实用程序的后门。它是由 Andres Freund 发现的，他是一位好奇且具有安全意识的微软软件工程师，当时正准备将其集成到主要的 Linux 发行版中。如果成功的话，服务器数量将难以想象[...]

欢迎回到我们博客系列的第二部分，我们将深入探讨 Valint 的强大功能。在本文中，我们将重点关注 Valint 的策略引擎及其在确保整个供应链合规性方面的关键作用。在我们之前的博文中，我们概述了 Valint 的设计原则。政策引擎如何[...]

随着应用程序的复杂性不断增加和安全威胁的激增，确保软件应用程序的安全已成为组织面临的重大挑战。应用程序安全态势管理 (ASPM) 作为应对这些挑战的解决方案而出现，它提供了一个框架，用于提高可见性、管理漏洞以及在整个软件开发生命周期中实施安全控制。这 […]

CI/CD 管道内部发生的具体情况是出了名的不透明。尽管已经编写了 YAML 配置文件（即管道指令列表），但您如何确定一切都按照描述精确发生？更糟糕的是，大多数管道完全是瞬态的，因此即使发生故障，[...]

安全软件开发框架 (SSDF)，又名 NIST SP800-218，是 NIST 为响应第 14028 号行政命令而制定的一套指南，重点是增强美国的网络安全态势，特别是在软件供应链安全方面。 SSDF 是一个最佳实践框架，而不是一个标准。虽然与[...]的组织特别相关

背景 SLSA（软件工件的供应链级别）是一个安全框架，旨在防止篡改、提高完整性以及保护包和基础设施的安全。 SLSA 的核心概念是，只有满足三个要求的软件工件才可以被信任：该工件应该有一个描述其起源和构建过程的来源文档[...]

当软件供应商未能履行对消费者、企业或关键基础设施提供商（白宫）的谨慎义务时，他们必须承担责任。如今，任何软件提供商都应该承担更大的责任，通过合同协议、软件发布和更新、通知和[...]来确保软件的完整性和安全性。

TL;DR 近年来，科技行业大力倡导软件开发中的“左移”概念，主张尽早将安全实践融入到开发生命周期中。这一运动旨在赋予开发人员从项目一开始就确保其代码安全的责任。然而，虽然这种方法背后的意图是[...]

业界尚未完全掌握 SBOM 的概念，我们已经开始听到一个新术语——ML-BOM——机器学习物料清单。在出现恐慌之前，我们先了解一下为什么要生成这样的 BOM、生成 ML-BOM 的挑战以及这样的 ML-BOM 是什么样的。 […]

软件供应链的风险之一是秘密泄露。软件供应链中到处都是秘密；开发人员和 CI\CD 管道需要使用机密来访问 SCM、管道、工件注册表、云环境和外部服务。当秘密无处不在时，这是一个时间问题 [...]