IntroduçãoA Orca Security identificou recentemente uma falha de design no serviço Google Cloud Build, chamada "Bad.Build". Essa falha representa um sério risco de segurança, pois permite que invasores executem a Escalação de Privilégios, concedendo a eles entrada não autorizada nos repositórios de código do Registro de Artefatos do Google. As consequências dessa vulnerabilidade se estendem...
De 2019 a 2022, o aumento médio anual de ataques à cadeia de fornecimento de software ultrapassou os 700%, uma tendência crescente cujo impacto económico deverá ultrapassar os 80 mil milhões de dólares em 2026. Reconhecendo a gravidade desta questão, a Agência de Segurança Nacional (NSA) e o Cibersegurança e...
Essa complexidade significa que existem inúmeras vias para os invasores, incluindo repositórios de software de código aberto. De acordo com o GitHub, 85-97% de enterprise codebases vêm de repositórios de código aberto. Os repositórios Npm e PyPI tiveram um aumento de 300% em ataques nos últimos quatro anos. Por exemplo, IconBurst é uma excelente ilustração do atual...
Análise de Ataques à Cadeia de Suprimentos de Software: A 3CX é uma empresa renomada que fornece produtos de VoIP e Comunicações Unificadas. Ela afirma ter mais de 600,000 instalações e 12 milhões de usuários diários. Sem dúvida, um alvo tentador para criminosos. No final de março, a 3CX sofreu o Ataque à Cadeia de Suprimentos da 3CX...
No entanto, a cadeia de fornecimento de software tornou-se um alvo cada vez mais popular para os cibercriminosos que procuram infiltrar-se no software e comprometer a sua segurança. Um dos métodos usados pelos invasores para conseguir isso é a adulteração de código, que é o processo de modificar o código-fonte de um software para...
À medida que as empresas dependem cada vez mais de software para operar, a segurança da cadeia de fornecimento de software torna-se mais crítica. Uma cadeia de suprimentos de software é o processo de criação e entrega de software, desde o desenvolvimento até a implantação. Software inseguro pode levar a violações de dados significativas, perdas financeiras e...
Software supply chain security é fundamental para o funcionamento e a segurança de todos os softwares modernos. No entanto, com o rápido crescimento do desenvolvimento de software no GitHub, há um aumento no risco de injeção de malware. Isso pode causar roubo de dados, danos ao sistema e danos à reputação...
O desenvolvimento de software moderno é um processo complexo que envolve cada vez mais intervenientes e diferentes componentes, destacando-se a adoção do código aberto que já contabiliza mais de 3 mil milhões de downloads de componentes em diferentes repositórios. A taxa de adoção de código ainda está crescendo a taxas cada vez maiores...
Como diretor de segurança da informação, CIO ou engenheiro de DevOps, é essencial garantir que sua plataforma esteja configurada corretamente para fornecer serviços estáveis e confiáveis aos seus usuários. No entanto, configurações incorretas podem ocorrer por vários motivos, desde erro humano até alterações em sua infraestrutura....
Integração contínua e entrega contínua (CI/CD) pipelines são a base de qualquer organização de software que constrói software de uma forma "moderna". A automação fornece grande poder, mas a maioria dos desenvolvedores não percebe a responsabilidade que isso acarreta. Desenvolvedor: Sim, nós assumimos CI/CD segurança seriamente e ter forte controle sobre os mantenedores do código, revisar...
A tecnologia de software evoluiu e os hackers evoluíram com ela. A corrida armamentista com maus atores restringiu-se principalmente a vulnerabilidades e ataques direcionados ao software implantado. Atacar a cadeia de fornecimento de software, embora não invisível, não era o alvo principal dos bandidos...
