博客文章

CVE（常见漏洞和暴露）扫描对于保护您的软件应用程序至关重要。然而，随着软件堆栈的复杂性不断增加，识别和解决所有 CVE 可能具有挑战性。当今 CVE 扫描的最大问题之一是误报的普遍存在，即在不属于 [...] 的包中发现漏洞。

2023 年 5 月，白宫发布了新的国家网络安全战略。该战略列出了白宫认为对于改善所有美国人（包括公共部门和私营部门）网络安全至关重要的 XNUMX 个支柱。第三个支柱涉及塑造市场力量以提高安全性和弹性的动力。其中一部分[…]

2023 年 9 月，CISA 发布了一份新的软件安全联合指南，名为《改变网络安全风险的平衡：设计安全和默认原则》。该指南由美国国家安全局、澳大利亚网络安全中心（ACSC）、德国联邦信息安全办公室（BSI）等XNUMX个不同机构合作编写。事实是[…]

20 月 1 日，OpenAI 拿下了流行的生成式 AI 工具 ChatGPT 几个小时。它后来承认，中断的原因是源于开源内存数据存储库“Redis”的软件供应链漏洞。由于此漏洞，存在一个时间窗口（上午 10 点至 XNUMX 点之间 [...]

2023 年 XNUMX 月，DHS、CISA、DOE 和 CESER 发布了一份题为“软件物料清单 (SBOM) 共享生命周期报告”的报告。该报告的目的是检查人们当前共享 SBOM 的方式，并概括地概述如何更好地完成这种共享，并更加复杂地 [...]

随着每个人都逐渐意识到，保护软件供应链应该成为每个组织网络安全策略的重要组成部分。创建减轻软件供应链威胁的综合策略的主要困难之一是供应链的复杂性和多样性。每个供应链都是独一无二的，并且要素[...]

2023 年 3 月下旬，安全研究人员曝光了威胁行为者对 XNUMXCX 商业通信软件（主要是该公司的语音和视频通话桌面应用程序）进行的复杂软件供应链攻击。研究人员警告说，该应用程序在某种程度上被木马化了，使用它可能会使组织面临威胁行为者可能实施的渗透计划。 […]

CI/CD 管道对于内部到底发生了什么是出了名的不透明。即使您是编写 YAML 配置文件（管道指令列表）的人，您如何确保一切都完全按照描述进行？更糟糕的是，大多数管道都是短暂的，所以即使发生不好的事情，也没有[...]

OpenSSL 是一个广泛使用的开源软件库，用于通过计算机网络实现安全通信。使用有多广泛？好吧，如果您曾经访问过 HTTPS 网页，那么您很可能是通过 OpenSSL 加密进行访问的。该库提供用于数据加密、解密、身份验证和数字签名验证的密码函数和协议。 OpenSSL 可以 [...]

针对硬件和软件产品的成功网络攻击变得越来越频繁，令人不安。据 Cyber​​security Ventures 称，到 7 年，网络犯罪预计会给全球造成 2022 万亿美元的损失。如此高的代价自然会引起企业和政府的关注。美国率先发布了总统行政命令 […]