ВведениеКомпания Orca Security недавно обнаружила ошибку в проекте сервиса Google Cloud Build, названную «Bad.Build». Эта ошибка представляет серьезную угрозу безопасности, поскольку позволяет злоумышленникам выполнять повышение привилегий, предоставляя им несанкционированный доступ к репозиториям кода реестра артефактов Google. Последствия этой уязвимости простираются...
С 2019 по 2022 год среднегодовой прирост атак на цепочки поставок программного обеспечения превысил 700%, и это растущая тенденция, экономический эффект которой, как ожидается, превысит 80 миллиардов долларов в 2026 году. Признавая серьезность этой проблемы, Агентство национальной безопасности (АНБ) и Кибербезопасность и...
Эта сложность означает, что существует множество путей для злоумышленников, включая репозитории программного обеспечения с открытым исходным кодом. Согласно GitHub, 85-97% enterprise кодовые базы берутся из репозиториев с открытым исходным кодом. Репозитории npm и PyPI за последние четыре года столкнулись с 300% ростом атак. Например, IconBurst — это яркий пример сегодняшнего...
Анализ атак на цепочку поставок программного обеспечения 3CX — известная компания, предоставляющая продукты VoIP и Unified Communications. Они утверждают, что имеют более 600,000 12 установок и 3 млн ежедневных пользователей. Несомненно, это заманчивая цель для злоумышленников. К концу марта 3CX подверглась атаке на цепочку поставок XNUMXCX...
Однако цепочка поставок программного обеспечения становится все более популярной мишенью для киберпреступников, стремящихся проникнуть в программное обеспечение и поставить под угрозу его безопасность. Одним из методов, используемых злоумышленниками для достижения этой цели, является подделка кода, то есть процесс изменения исходного кода программного обеспечения...
Поскольку предприятия все больше полагаются на программное обеспечение в своей работе, безопасность цепочки поставок программного обеспечения становится все более важной. Цепочка поставок программного обеспечения — это процесс создания и поставки программного обеспечения, от разработки до внедрения. Небезопасное программное обеспечение может привести к серьезной утечке данных, финансовым потерям и...
Software supply chain security имеет решающее значение для функционирования и безопасности всего современного программного обеспечения. Однако, с быстрым ростом разработки программного обеспечения на GitHub, увеличивается риск внедрения вредоносного ПО. Это может привести к краже данных, повреждению системы и репутационному ущербу...
Современная разработка программного обеспечения представляет собой сложный процесс, в который все чаще вовлекается все больше участников и различных компонентов, что подчеркивает внедрение открытого исходного кода, на долю которого в настоящее время приходится более 3 миллиардов загрузок компонентов в различных репозиториях. Скорость внедрения кода по-прежнему растет более быстрыми темпами...
Как директору по информационной безопасности, ИТ-директору или инженеру DevOps важно убедиться, что ваша платформа правильно настроена для предоставления стабильных и надежных услуг вашим пользователям. Однако неправильные настройки могут возникать по разным причинам: от человеческой ошибки до изменений в вашей инфраструктуре....
Непрерывная интеграция и непрерывная поставка (CI/CD) pipelines являются основой любой организации, занимающейся разработкой программного обеспечения, которая создает программное обеспечение «современным» способом. Автоматизация обеспечивает большую силу, но большинство разработчиков упускают из виду ответственность, которую она влечет за собой. Разработчик: Да, мы берем на себя CI/CD серьезно относитесь к безопасности и осуществляйте строгий контроль над теми, кто поддерживает код, просмотрите...
Технологии программного обеспечения развивались, и вместе с ними развивались хакеры. Гонка вооружений с злоумышленниками в основном ограничивалась уязвимостями и атаками, направленными на развернутое программное обеспечение. Атака на цепочку поставок программного обеспечения, хотя и не была незамеченной, не была основной целью злоумышленников...
