网络风险

在当今的数字环境中，软件安全至关重要。国家安全局 (NSA) 与网络安全和基础设施安全局 (CISA) 合作，制定了全面的软件物料清单 (SBOM) 管理指南。这些指南对于旨在加强网络安全态势并降低软件供应链风险的组织至关重要。为什么 […]

在当今互联互通的数字环境中，确保软件供应链的安全至关重要。软件供应链涵盖了开发、构建和部署软件所涉及的所有流程和组件，并且越来越成为网络攻击的目标。我曾与多家公司合作，并利用丰富的行业经验，因此可以自信地分享一些 […]

什么是 XZ Utils (CVE-2024-3094) 后门？ CVE-2024-3094 于 2024 年 XNUMX 月上旬发布，是恶意插入 Linux 实用程序的后门。它是由 Andres Freund 发现的，他是一位好奇且具有安全意识的微软软件工程师，当时正准备将其集成到主要的 Linux 发行版中。如果成功的话，服务器数量将难以想象[...]

欢迎回到我们博客系列的第二部分，我们将深入探讨 Valint 的强大功能。在本文中，我们将重点关注 Valint 的策略引擎及其在确保整个供应链合规性方面的关键作用。在我们之前的博文中，我们概述了 Valint 的设计原则。政策引擎如何[...]

随着应用程序的复杂性不断增加和安全威胁的激增，确保软件应用程序的安全已成为组织面临的重大挑战。应用程序安全态势管理 (ASPM) 作为应对这些挑战的解决方案而出现，它提供了一个框架，用于提高可见性、管理漏洞以及在整个软件开发生命周期中实施安全控制。这 […]

CI/CD 管道内部发生的具体情况是出了名的不透明。尽管已经编写了 YAML 配置文件（即管道指令列表），但您如何确定一切都按照描述精确发生？更糟糕的是，大多数管道完全是瞬态的，因此即使发生故障，[...]

安全软件开发框架 (SSDF)，又名 NIST SP800-218，是 NIST 为响应第 14028 号行政命令而制定的一套指南，重点是增强美国的网络安全态势，特别是在软件供应链安全方面。 SSDF 是一个最佳实践框架，而不是一个标准。虽然与[...]的组织特别相关

背景 SLSA（软件工件的供应链级别）是一个安全框架，旨在防止篡改、提高完整性以及保护包和基础设施的安全。 SLSA 的核心概念是，只有满足三个要求的软件工件才可以被信任：该工件应该有一个描述其起源和构建过程的来源文档[...]

当软件供应商未能履行对消费者、企业或关键基础设施提供商（白宫）的谨慎义务时，他们必须承担责任。如今，任何软件提供商都应该承担更大的责任，通过合同协议、软件发布和更新、通知和[...]来确保软件的完整性和安全性。

TL;DR 近年来，科技行业大力倡导软件开发中的“左移”概念，主张尽早将安全实践融入到开发生命周期中。这一运动旨在赋予开发人员从项目一开始就确保其代码安全的责任。然而，虽然这种方法背后的意图是[...]