از امضای بسته تا SBOM تا زنجیرههای ابزار توسعهدهنده جدید، بخشهای ایمنسازی زنجیره تامین نرمافزار شروع به جمع شدن میکنند.
نرم افزار-امنیت
DevSecOps مفاهیم توسعهدهنده را با ابزارها و شیوههایی تکامل میدهد که امنیت را در هر لایه از چرخه عمر توسعه نرمافزار تعبیه میکند. این است که چرا شرکت های بیشتری از DevSecOps استقبال می کنند.
پس از یک دهه توسعه نرمافزار و تیمهای عملیاتی که از هر «ابزار مناسب برای کار» استقبال کردند، زمان آن رسیده است که تلاشهای یکپارچهسازی ابزار را آغاز کنیم. اینجا باید از کجا شروع کرد.
چرا ممکن است در حال حاضر در معرض خطر باشید، چگونه آسیبپذیریهای Log4j را در حال حاضر شناسایی و کاهش دهید، و چگونه امنیت کد خود را در آینده بهبود بخشید.
پلتفرم امنیتی منبع باز End-to-End برای Kubernetes اسکن آسیب پذیری را برای مخازن کد و ثبت تصاویر کانتینر اضافه کرده است.
هر روز، توسعهدهندگان نرمافزار به طور ضمنی به بستههای نرمافزاری، تصاویر کانتینر، نگهدارندههای وابستگی، اپراتورهای مخزن، و سیستمهایی میسازند که ما چیزی درباره آنها نمیدانیم. این برعکس Zero Trust است.
گروهی از توسعهدهندگان و نگهبانان در آخر هفته تلاش کردند تا آسیبپذیری Log4j را ایمن کنند، اما هنوز کار زیادی برای پاک کردن این آشفتگی وجود دارد.
یک آسیبپذیری روز صفر در Argo CD میتواند اطلاعات حساسی مانند گذرواژهها و کلیدهای API را در معرض خطر قرار دهد. آیا شما محافظت می کنید؟
زیرساخت به عنوان ارائهدهنده کد، ویژگیهای سازمانی جدیدی را اضافه میکند، زیرا به نظر میرسد نیازهای سازمانهای بزرگتر را برآورده کند.
موج جدیدی از استارتآپها به دنبال کمک به توسعهدهندگان هستند تا برنامههای کانتینری خود را پس از شروع تولید، ایمن کنند. آیا این آینده امنیت اپلیکیشن است؟
Xray Secrets Detection جدید JFrog توکنهای دسترسی فعال را در رجیستریهای نرمافزار منبع باز محبوب از جمله Docker، npm و PyPI کشف کرد. در اینجا یافته ها و نکات اولیه ما آمده است.
ارائهدهنده نرمافزار اسکن آسیبپذیری منبع باز، بستههای مخرب را در رجیستری بسته جاوا اسکریپت که به طور گسترده استفاده میشود، پیدا میکند.
گروه جدیدی از نگهدارندهها در حال ساخت نسخه «رسمی» کتابخانه جاوا اسکریپت Faker هستند، پس از اینکه نگهدارنده قبلی سرکشی کرد.
منبع باز Tracee از فناوری لینوکس eBPF برای ردیابی سیستم و برنامه ها در زمان اجرا استفاده می کند و رویدادهای جمع آوری شده را برای شناسایی الگوهای رفتاری مشکوک تجزیه و تحلیل می کند.