博客文章

Valint 是用于创建、管理、签名和验证证据的主要 Scribe 工具。在上一篇文章中，我们介绍了使用签名和验证证据作为验证 CI/CD 管道安全性的主要工具的理论。简短提醒一下，Scribe 提出的模型包括几个可以打乱的构建块，并且 [...]

2022 年 XNUMX 月，美国管理和预算办公室 (OMB) 发布了一份具有里程碑意义的备忘录，涉及确保软件供应链达到美国联邦政府可接受的程度所需的步骤。任何希望与政府和任何生产软件的联邦机构开展业务的公司都需要遵守 [...]

CVE（常见漏洞和暴露）扫描对于保护您的软件应用程序至关重要。然而，随着软件堆栈的复杂性不断增加，识别和解决所有 CVE 可能具有挑战性。当今 CVE 扫描的最大问题之一是误报的普遍存在，即在不属于 [...] 的包中发现漏洞。

2023 年 5 月，白宫发布了新的国家网络安全战略。该战略列出了白宫认为对于改善所有美国人（包括公共部门和私营部门）网络安全至关重要的 XNUMX 个支柱。第三个支柱涉及塑造市场力量以提高安全性和弹性的动力。其中一部分[…]

2023 年 9 月，CISA 发布了一份新的软件安全联合指南，名为《改变网络安全风险的平衡：设计安全和默认原则》。该指南由美国国家安全局、澳大利亚网络安全中心（ACSC）、德国联邦信息安全办公室（BSI）等XNUMX个不同机构合作编写。事实是[…]

20 月 1 日，OpenAI 拿下了流行的生成式 AI 工具 ChatGPT 几个小时。它后来承认，中断的原因是源于开源内存数据存储库“Redis”的软件供应链漏洞。由于此漏洞，存在一个时间窗口（上午 10 点至 XNUMX 点之间 [...]

2023 年 XNUMX 月，DHS、CISA、DOE 和 CESER 发布了一份题为“软件物料清单 (SBOM) 共享生命周期报告”的报告。该报告的目的是检查人们当前共享 SBOM 的方式，并概括地概述如何更好地完成这种共享，并更加复杂地 [...]

随着每个人都逐渐意识到，保护软件供应链应该成为每个组织网络安全策略的重要组成部分。创建减轻软件供应链威胁的综合策略的主要困难之一是供应链的复杂性和多样性。每个供应链都是独一无二的，并且要素[...]

2023 年 3 月下旬，安全研究人员曝光了威胁行为者对 XNUMXCX 商业通信软件（主要是该公司的语音和视频通话桌面应用程序）进行的复杂软件供应链攻击。研究人员警告说，该应用程序在某种程度上被木马化了，使用它可能会使组织面临威胁行为者可能实施的渗透计划。 […]

CI/CD 管道对于内部到底发生了什么是出了名的不透明。即使您是编写 YAML 配置文件（管道指令列表）的人，您如何确保一切都完全按照描述进行？更糟糕的是，大多数管道都是短暂的，所以即使发生不好的事情，也没有[...]