网络风险

网络风险棋盘的图像
巴拉克·布鲁多 NIST 网络安全框架 2.0 发生了哪些变化以及您为什么应该关心?

2.0 月初,美国国家标准与技术研究院 (NIST) 发布了其具有里程碑意义的网络安全框架的 2014 版草案,该框架于 10 年首次发布。过去 XNUMX 年发生了很多变化,其中最重要的是网络安全水平的不断提高。原始文件旨在帮助关键的网络安全威胁[...]

查看更多
网络风险表示依赖图的图像
米基·施特劳斯 CycloneDX SBOM 依赖图 – 它有什么用?

最近我们都听说过很多有关 SBOM 的事情。我们了解了它们的用途、组成以及对安全和监管的要求。这次我想花时间谈谈 CyclonDX SBOM 中一个不太为人所知的部分——依赖图。与名称所暗示的不同,依赖图不是 [...]

查看更多
网络风险破碎的拼图的图像
巴拉克·布鲁多 SBOM 签名:解决不断变化的难题

在过去的几年里,人们写了很多关于 SBOM(软件物料清单)的文章。通过所有这些曝光,人们觉得他们知道什么可以很好地解释——它是软件成分的列表,它对于透明度和安全性很重要,并且有助于暴露暂时的依赖关系。全部 […]

查看更多
网络风险
巴拉克·布鲁多 使用 Valint 将策略应用于您的 SDLC

Valint 是用于创建、管理、签名和验证证据的主要 Scribe 工具。在上一篇文章中,我们介绍了使用签名和验证证据作为验证 CI/CD 管道安全性的主要工具的理论。简短提醒一下,Scribe 提出的模型包括几个可以打乱的构建块,并且 [...]

查看更多
网络风险
巴拉克·布鲁多 CISA 的安全软件自我认证通用表格:责任的转折点

2022 年 XNUMX 月,美国管理和预算办公室 (OMB) 发布了一份具有里程碑意义的备忘录,涉及确保软件供应链达到美国联邦政府可接受的程度所需的步骤。任何希望与政府和任何生产软件的联邦机构开展业务的公司都需要遵守 [...]

查看更多
网络风险
巴拉克·布鲁多 如何避免漏洞扫描中的CVE倦怠和警报疲劳?

CVE(常见漏洞和暴露)扫描对于保护您的软件应用程序至关重要。然而,随着软件堆栈的复杂性不断增加,识别和解决所有 CVE 可能具有挑战性。当今 CVE 扫描的最大问题之一是误报的普遍存在,即在不属于 [...] 的包中发现漏洞。

查看更多
网络风险代表安全港的图像
巴拉克·布鲁多 为软件生产商提供免于承担责任的安全港

2023 年 5 月,白宫发布了新的国家网络安全战略。该战略列出了白宫认为对于改善所有美国人(包括公共部门和私营部门)网络安全至关重要的 XNUMX 个支柱。第三个支柱涉及塑造市场力量以提高安全性和弹性的动力。其中一部分[…]

查看更多
网络风险
巴拉克·布鲁多 描绘 SBOM 的未来:CISA 新指南的见解:改变网络安全风险的平衡

2023 年 9 月,CISA 发布了一份新的软件安全联合指南,名为《改变网络安全风险的平衡:设计安全和默认原则》。该指南由美国国家安全局、澳大利亚网络安全中心(ACSC)、德国联邦信息安全办公室(BSI)等XNUMX个不同机构合作编写。事实是[…]

查看更多
网络风险一张图片说明人工智能出了问题
巴拉克·布鲁多 当人工智能公司成为软件供应链漏洞的受害者时会发生什么

20 月 1 日,OpenAI 拿下了流行的生成式 AI 工具 ChatGPT 几个小时。它后来承认,中断的原因是源于开源内存数据存储库“Redis”的软件供应链漏洞。由于此漏洞,存在一个时间窗口(上午 10 点至 XNUMX 点之间 [...]

查看更多
网络风险文档共享的抽象图像
巴拉克·布鲁多 我们可以从 CISA 的 SBOM 共享生命周期报告中学到什么

2023 年 XNUMX 月,DHS、CISA、DOE 和 CESER 发布了一份题为“软件物料清单 (SBOM) 共享生命周期报告”的报告。该报告的目的是检查人们当前共享 SBOM 的方式,并概括地概述如何更好地完成这种共享,并更加复杂地 [...]

查看更多
1 2 3 4 5 6