Últimas notícias

Fique informado

Google lança nova estrutura para prevenir ataques à cadeia de suprimentos de software

18 de junho de 2021

Spotlight

Zero Trust e viagens pós-COVID ocupam o centro das atenções no Identity Week 2021

Identity Week 2021 será realizado de 22 a 23 de setembro de 2021 em Londres e reúne as mentes mais brilhantes do setor de identidades.

27 de setembro de 2021

NSA publica atualização sobre criptografia resistente a quantum

A NSA publicou o FAQ “Quantum Computing and Post-Quantum Cryptography. Confira nesse artigo!

3 de setembro de 2021

CertForum 21: evento on-line para quem quer saber tudo sobre identificação digital e documentos eletrônicos

O CertForum é realizado pelo Instituto Nacional de Tecnologia da Informação (ITI) e organizado pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

31 de agosto de 2021

Soluti e BSSP realizam a 2ª edição do Congresso Nacional Online Pensar Contabilidade

Congresso 100% gratuito e online destinado a profissionais e estudantes

21 de maio de 2021

Certisign: o que você precisa saber do Pix cobrança e QR Code para não cair em golpes digitais

Pix Cobrança, modalidade na qual o boleto bancário é substituído por um QR Code ja está em funcionamento

17 de maio de 2021

73,4% dos empreendedores estão vendendo online durante a pandemia, revela pesquisa da Serasa Experian

Redes sociais lideram a lista de canais mais usados pelas micro, pequenas e médias empresas para comercializar produtos e serviços, revela pesquisa da Serasa Experian

12 de maio de 2021

Veja o que diz Miguel Martins da AET Europe sobre gerenciamento de eIDS. Ouça

Como traçar a estratégia de IAM para sua organização? Confira o que diz a AET Europe, líder global em gerenciamento de identidades.

19 de janeiro de 2021

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável

À medida que os ataques à cadeia de suprimentos de software surgem como um ponto de preocupação após os incidentes de segurança do SolarWinds e Codecov , o Google está propondo uma solução para garantir a integridade dos pacotes de software e evitar modificações não autorizadas.

Chamado de “Níveis da cadeia de suprimentos para artefatos de software ” (SLSA, e pronuncia-se “salsa”), a estrutura de ponta a ponta visa proteger o desenvolvimento de software e pipeline de implantação – ou seja, o fluxo de trabalho de origem source construir flow publicar – e mitigar ameaças que surgem da adulteração do código-fonte, da plataforma de construção e do repositório de artefatos em cada elo da cadeia.

O Google disse que o SLSA é inspirado no mecanismo de aplicação interno da própria empresa chamado Binary Authorization for Borg , um conjunto de ferramentas de auditoria que verifica a proveniência do código e implementa a identidade do código para verificar se o software de produção implantado foi devidamente revisado e autorizado.

“Em seu estado atual, o SLSA é um conjunto de diretrizes de segurança adotáveis ​​gradativamente estabelecidas por consenso da indústria”, disse Kim Lewandowski, da equipe de segurança de código aberto do Google, e Mark Lodato, da equipe de autorização binária da Borg.

“Em sua forma final, o SLSA será diferente de uma lista de melhores práticas em sua aplicabilidade: ele suportará a criação automática de metadados auditáveis ​​que podem ser alimentados em mecanismos de política para fornecer ‘certificação SLSA’ a um pacote ou plataforma de construção em particular.”

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável. Ele compreende quatro níveis diferentes de sofisticação progressiva de segurança de software, com o SLSA 4 oferecendo um alto grau de confiança de que o software não foi corrigido incorretamente.

SLSA 1 – Requer que o processo de construção seja totalmente programado / automatizado e gere proveniência

SLSA 2 – Requer o uso de controle de versão e um serviço de compilação hospedado que gera proveniência autenticada

SLSA 3 – Requer que as plataformas de origem e construção atendam a padrões específicos para garantir a auditabilidade da origem e a integridade da procedência

SLSA 4 – Requer uma revisão de duas pessoas de todas as alterações e um processo de construção hermético e reproduzível

“Níveis mais altos de SLSA exigem controles de segurança mais fortes para a plataforma de construção, tornando mais difícil comprometer e ganhar persistência”, observaram Lewandowski e Lodato.

Embora o SLA 4 represente o estado final ideal, os níveis mais baixos fornecem garantias de integridade incrementais, ao mesmo tempo que torna difícil para os agentes mal-intencionados permanecerem ocultos em um ambiente de desenvolvedor violado por longos períodos de tempo.

Junto com o anúncio, o Google compartilhou detalhes adicionais sobre as Fonte e Envergadura requisitos que precisam ser satisfeitas, e também está convocando a indústria para padronizar o sistema e definir um modelo de ameaça que as esperanças ameaças detalhes específicos SLSA para endereço no longo prazo .

“Alcançar o nível mais alto de SLSA para a maioria dos projetos pode ser difícil, mas melhorias incrementais reconhecidas por níveis mais baixos de SLSA já contribuirão muito para melhorar a segurança do ecossistema de código aberto”, disse a empresa.

Fonte: The Hackers News

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

The FBI is breaking into corporate computers to remove malicious code – smart cyber defense or government overreach?

Artificial Intelligence, Facial Recognition Face Curbs in New EU Proposal