博客文章

业界尚未完全掌握 SBOM 的概念，我们已经开始听到一个新术语——ML-BOM——机器学习物料清单。在出现恐慌之前，我们先了解一下为什么要生成这样的 BOM、生成 ML-BOM 的挑战以及这样的 ML-BOM 是什么样的。 […]

软件供应链的风险之一是秘密泄露。软件供应链中到处都是秘密；开发人员和 CI\CD 管道需要使用机密来访问 SCM、管道、工件注册表、云环境和外部服务。当秘密无处不在时，这是一个时间问题 [...]

2.0 月初，美国国家标准与技术研究院 (NIST) 发布了其具有里程碑意义的网络安全框架的 2014 版草案，该框架于 10 年首次发布。过去 XNUMX 年发生了很多变化，其中最重要的是网络安全水平的不断提高。原始文件旨在帮助关键的网络安全威胁[...]

最近我们都听说过很多有关 SBOM 的事情。我们了解了它们的用途、组成以及对安全和监管的要求。这次我想花时间谈谈 CyclonDX SBOM 中一个不太为人所知的部分——依赖图。与名称所暗示的不同，依赖图不是 [...]

在过去的几年里，人们写了很多关于 SBOM（软件物料清单）的文章。通过所有这些曝光，人们觉得他们知道什么可以很好地解释——它是软件成分的列表，它对于透明度和安全性很重要，并且有助于暴露暂时的依赖关系。全部 […]

Valint 是用于创建、管理、签名和验证证据的主要 Scribe 工具。在上一篇文章中，我们介绍了使用签名和验证证据作为验证 CI/CD 管道安全性的主要工具的理论。简短提醒一下，Scribe 提出的模型包括几个可以打乱的构建块，并且 [...]

2022 年 XNUMX 月，美国管理和预算办公室 (OMB) 发布了一份具有里程碑意义的备忘录，涉及确保软件供应链达到美国联邦政府可接受的程度所需的步骤。任何希望与政府和任何生产软件的联邦机构开展业务的公司都需要遵守 [...]

CVE（常见漏洞和暴露）扫描对于保护您的软件应用程序至关重要。然而，随着软件堆栈的复杂性不断增加，识别和解决所有 CVE 可能具有挑战性。当今 CVE 扫描的最大问题之一是误报的普遍存在，即在不属于 [...] 的包中发现漏洞。

2023 年 5 月，白宫发布了新的国家网络安全战略。该战略列出了白宫认为对于改善所有美国人（包括公共部门和私营部门）网络安全至关重要的 XNUMX 个支柱。第三个支柱涉及塑造市场力量以提高安全性和弹性的动力。其中一部分[…]

2023 年 9 月，CISA 发布了一份新的软件安全联合指南，名为《改变网络安全风险的平衡：设计安全和默认原则》。该指南由美国国家安全局、澳大利亚网络安全中心（ACSC）、德国联邦信息安全办公室（BSI）等XNUMX个不同机构合作编写。事实是[…]