Últimas notícias

Fique informado

Google lança nova estrutura para prevenir ataques à cadeia de suprimentos de software

18 de junho de 2021

Spotlight

Entrevistamos Darryl Green, CEO da CAF – Combate a Fraude

A CAF levantou recentemente R$ 80 milhões e se posiciona como um competidor para empresas do setor antifraude como a Unico e IDWall.

16 de agosto de 2022

BlockchaIn Rio Festival lança programação oficial

O BlockchaIn Rio Festival, que acontece entre os dias 1 a 4 de setembro, no Píer Mauá, anuncia a sua programação.

15 de agosto de 2022

As diferenças entre extorsão e ransomware segundo Tenable

São diversas formas que esses ataques podem acontecer, mas vale destacar dois tipos: extorsão e ransomware

15 de agosto de 2022

HC3 – Centro de Coordenação de Segurança Cibernética de Saúde dos USA orienta como manter a segurança da IoT na área da saúde

À medida que a saúde se torna cada vez mais interconectada, os dispositivos IoT se tornam cruciais para os fluxos de trabalho e a funcionalidade.

15 de agosto de 2022

TecBan reúne as melhores práticas de segurança para evitar golpes e fraudes em dispositivos móveis

A TecBan preparou algumas dicas para ajudar a evitar golpes e fraudes em dispositivos móveis.

12 de agosto de 2022

O que é criptografia assimétrica – ID Plus #10

No Id Plus dessa semana, a equipe de redação te explica o que é a criptografia assimétrica e como ela se aplica em nosso cotidiano

8 de agosto de 2022

Soluti e BSSP realizam a 2ª edição do Congresso Nacional Online Pensar Contabilidade

Congresso 100% gratuito e online destinado a profissionais e estudantes

21 de maio de 2021

Certisign: o que você precisa saber do Pix cobrança e QR Code para não cair em golpes digitais

Pix Cobrança, modalidade na qual o boleto bancário é substituído por um QR Code ja está em funcionamento

17 de maio de 2021

73,4% dos empreendedores estão vendendo online durante a pandemia, revela pesquisa da Serasa Experian

Redes sociais lideram a lista de canais mais usados pelas micro, pequenas e médias empresas para comercializar produtos e serviços, revela pesquisa da Serasa Experian

12 de maio de 2021

Veja o que diz Miguel Martins da AET Europe sobre gerenciamento de eIDS. Ouça

Como traçar a estratégia de IAM para sua organização? Confira o que diz a AET Europe, líder global em gerenciamento de identidades.

19 de janeiro de 2021

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável

À medida que os ataques à cadeia de suprimentos de software surgem como um ponto de preocupação após os incidentes de segurança do SolarWinds e Codecov , o Google está propondo uma solução para garantir a integridade dos pacotes de software e evitar modificações não autorizadas.

Chamado de “Níveis da cadeia de suprimentos para artefatos de software ” (SLSA, e pronuncia-se “salsa”), a estrutura de ponta a ponta visa proteger o desenvolvimento de software e pipeline de implantação – ou seja, o fluxo de trabalho de origem source construir flow publicar – e mitigar ameaças que surgem da adulteração do código-fonte, da plataforma de construção e do repositório de artefatos em cada elo da cadeia.

O Google disse que o SLSA é inspirado no mecanismo de aplicação interno da própria empresa chamado Binary Authorization for Borg , um conjunto de ferramentas de auditoria que verifica a proveniência do código e implementa a identidade do código para verificar se o software de produção implantado foi devidamente revisado e autorizado.

“Em seu estado atual, o SLSA é um conjunto de diretrizes de segurança adotáveis ​​gradativamente estabelecidas por consenso da indústria”, disse Kim Lewandowski, da equipe de segurança de código aberto do Google, e Mark Lodato, da equipe de autorização binária da Borg.

“Em sua forma final, o SLSA será diferente de uma lista de melhores práticas em sua aplicabilidade: ele suportará a criação automática de metadados auditáveis ​​que podem ser alimentados em mecanismos de política para fornecer ‘certificação SLSA’ a um pacote ou plataforma de construção em particular.”

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável. Ele compreende quatro níveis diferentes de sofisticação progressiva de segurança de software, com o SLSA 4 oferecendo um alto grau de confiança de que o software não foi corrigido incorretamente.

SLSA 1 – Requer que o processo de construção seja totalmente programado / automatizado e gere proveniência

SLSA 2 – Requer o uso de controle de versão e um serviço de compilação hospedado que gera proveniência autenticada

SLSA 3 – Requer que as plataformas de origem e construção atendam a padrões específicos para garantir a auditabilidade da origem e a integridade da procedência

SLSA 4 – Requer uma revisão de duas pessoas de todas as alterações e um processo de construção hermético e reproduzível

“Níveis mais altos de SLSA exigem controles de segurança mais fortes para a plataforma de construção, tornando mais difícil comprometer e ganhar persistência”, observaram Lewandowski e Lodato.

Embora o SLA 4 represente o estado final ideal, os níveis mais baixos fornecem garantias de integridade incrementais, ao mesmo tempo que torna difícil para os agentes mal-intencionados permanecerem ocultos em um ambiente de desenvolvedor violado por longos períodos de tempo.

Junto com o anúncio, o Google compartilhou detalhes adicionais sobre as Fonte e Envergadura requisitos que precisam ser satisfeitas, e também está convocando a indústria para padronizar o sistema e definir um modelo de ameaça que as esperanças ameaças detalhes específicos SLSA para endereço no longo prazo .

“Alcançar o nível mais alto de SLSA para a maioria dos projetos pode ser difícil, mas melhorias incrementais reconhecidas por níveis mais baixos de SLSA já contribuirão muito para melhorar a segurança do ecossistema de código aberto”, disse a empresa.

Fonte: The Hackers News

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

The FBI is breaking into corporate computers to remove malicious code – smart cyber defense or government overreach?

Artificial Intelligence, Facial Recognition Face Curbs in New EU Proposal