博客文章

自动化 CI/CD（持续集成/持续交付）管道用于加速开发。拥有触发器或调度来获取您的代码、合并它、构建它、测试它并自动发布它真是太棒了。然而，为了速度和易用性而构建意味着大多数管道本质上并不具备安全性 [...]

新漏洞的披露速度不断增加。目前，每年平均有 15,000 个 CVE。 2022 年报告的新 CVE 数量超过 26,000 个。显然，并非所有漏洞都与您的软件相关。要确定某个特定漏洞是否是一个问题，您首先需要弄清楚[...]

尽管越来越多地采用软件物料清单 (SBOM) 作为漏洞管理和网络安全工具，但许多组织仍然难以理解当今使用的两种最流行的 SBOM 格式：SPDX 和 CycloneDX。在本文中，我们将比较这两种格式，以帮助您选择正确的格式 [...]

保护软件产品的传统方法侧重于消除自定义代码中的漏洞并保护应用程序免受第三方依赖项中已知风险的影响。然而，这种方法是不够的，无法解决软件供应链带来的全部威胁。忽视保护该链条的各个方面，从生产到分销 […]

上个月，我在黑暗阅读中看到了这篇文章。看上去很眼熟。没过多久我就意识到文章中讨论的 GitHub 跨工作流工件中毒漏洞与我们在 2022 年 XNUMX 月报告的 GitHub 跨工作流缓存中毒漏洞非常相似。 GitHub 工作流 - GitHub 的关键组件[…]

随着越来越多地使用第三方组件和冗长的软件供应链，攻击者现在可以通过一次攻击同时破坏许多软件包。为了应对这种新的攻击媒介，更多的开发和 DevOps 团队以及安全专业人员正在寻求纳入软件物料清单 (SBOM)。软件供应链[...]

软件供应链面临的风险已成为网络安全生态系统讨论的最前沿。部分原因是这些供应链攻击的频率增加，但也因为它们发生时可能产生深远的影响。 2021 年的数据显示软件供应链攻击 [...]

全球软件供应链始终受到网络犯罪分子的威胁，他们威胁窃取敏感信息或知识产权并损害系统完整性。这些问题可能会影响商业公司以及政府安全可靠地向公众提供服务的能力。美国管理和预算办公室 (OMB) [...]

当三个美国政府机构联合起来“大力鼓励”开发者采取某些做法时，你应该注意了。 CISA、NSA 和 ODNI 认识到网络黑客的威胁并在 SolarWinds 攻击之后宣布，他们将联合发布一系列确保软件供应安全的建议 [...]

美国政府正在修改其网络安全政策。其中包括美国国家标准与技术研究院 (NIST) 发布的安全软件开发框架 (SSDF) 1.1 版，旨在减少整个软件开发生命周期 (SDLC) 中的安全漏洞。该文件为软件供应商和收购方提供了“[...]