博客文章

在当今互联互通的数字环境中，确保软件供应链的安全至关重要。软件供应链涵盖了开发、构建和部署软件所涉及的所有流程和组件，并且越来越成为网络攻击的目标。我曾与多家公司合作，并利用丰富的行业经验，因此可以自信地分享一些 […]

什么是 XZ Utils (CVE-2024-3094) 后门？ CVE-2024-3094 于 2024 年 XNUMX 月上旬发布，是恶意插入 Linux 实用程序的后门。它是由 Andres Freund 发现的，他是一位好奇且具有安全意识的微软软件工程师，当时正准备将其集成到主要的 Linux 发行版中。如果成功的话，服务器数量将难以想象[...]

想象一下下一次董事会会议。作为组织中的安全领导者，您将向您的标准展示风险、缓解措施和事件。然后，一位董事会成员会问：你准备如何保护公司已经在使用的新人工智能技术和 MLOps 管道？这是你的答案。人工智能 […]

欢迎回到我们博客系列的第二部分，我们将深入探讨 Valint 的强大功能。在本文中，我们将重点关注 Valint 的策略引擎及其在确保整个供应链合规性方面的关键作用。在我们之前的博文中，我们概述了 Valint 的设计原则。政策引擎如何[...]

随着应用程序的复杂性不断增加和安全威胁的激增，确保软件应用程序的安全已成为组织面临的重大挑战。应用程序安全态势管理 (ASPM) 作为应对这些挑战的解决方案而出现，它提供了一个框架，用于提高可见性、管理漏洞以及在整个软件开发生命周期中实施安全控制。这 […]

CI/CD 管道内部发生的具体情况是出了名的不透明。尽管已经编写了 YAML 配置文件（即管道指令列表），但您如何确定一切都按照描述精确发生？更糟糕的是，大多数管道完全是瞬态的，因此即使发生故障，[...]

安全软件开发框架 (SSDF)，又名 NIST SP800-218，是 NIST 为响应第 14028 号行政命令而制定的一套指南，重点是增强美国的网络安全态势，特别是在软件供应链安全方面。 SSDF 是一个最佳实践框架，而不是一个标准。虽然与[...]的组织特别相关

背景 SLSA（软件工件的供应链级别）是一个安全框架，旨在防止篡改、提高完整性以及保护包和基础设施的安全。 SLSA 的核心概念是，只有满足三个要求的软件工件才可以被信任：该工件应该有一个描述其起源和构建过程的来源文档[...]

当软件供应商未能履行对消费者、企业或关键基础设施提供商（白宫）的谨慎义务时，他们必须承担责任。如今，任何软件提供商都应该承担更大的责任，通过合同协议、软件发布和更新、通知和[...]来确保软件的完整性和安全性。

TL;DR 近年来，科技行业大力倡导软件开发中的“左移”概念，主张尽早将安全实践融入到开发生命周期中。这一运动旨在赋予开发人员从项目一开始就确保其代码安全的责任。然而，虽然这种方法背后的意图是[...]