Últimas notícias

Fique informado

Google lança nova estrutura para prevenir ataques à cadeia de suprimentos de software

18 de junho de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Soluti e BSSP realizam a 2ª edição do Congresso Nacional Online Pensar Contabilidade

Congresso 100% gratuito e online destinado a profissionais e estudantes

21 de maio de 2021

Certisign: o que você precisa saber do Pix cobrança e QR Code para não cair em golpes digitais

Pix Cobrança, modalidade na qual o boleto bancário é substituído por um QR Code ja está em funcionamento

17 de maio de 2021

73,4% dos empreendedores estão vendendo online durante a pandemia, revela pesquisa da Serasa Experian

Redes sociais lideram a lista de canais mais usados pelas micro, pequenas e médias empresas para comercializar produtos e serviços, revela pesquisa da Serasa Experian

12 de maio de 2021

Veja o que diz Miguel Martins da AET Europe sobre gerenciamento de eIDS. Ouça

Como traçar a estratégia de IAM para sua organização? Confira o que diz a AET Europe, líder global em gerenciamento de identidades.

19 de janeiro de 2021

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável

À medida que os ataques à cadeia de suprimentos de software surgem como um ponto de preocupação após os incidentes de segurança do SolarWinds e Codecov , o Google está propondo uma solução para garantir a integridade dos pacotes de software e evitar modificações não autorizadas.

Chamado de “Níveis da cadeia de suprimentos para artefatos de software ” (SLSA, e pronuncia-se “salsa”), a estrutura de ponta a ponta visa proteger o desenvolvimento de software e pipeline de implantação – ou seja, o fluxo de trabalho de origem source construir flow publicar – e mitigar ameaças que surgem da adulteração do código-fonte, da plataforma de construção e do repositório de artefatos em cada elo da cadeia.

O Google disse que o SLSA é inspirado no mecanismo de aplicação interno da própria empresa chamado Binary Authorization for Borg , um conjunto de ferramentas de auditoria que verifica a proveniência do código e implementa a identidade do código para verificar se o software de produção implantado foi devidamente revisado e autorizado.

“Em seu estado atual, o SLSA é um conjunto de diretrizes de segurança adotáveis ​​gradativamente estabelecidas por consenso da indústria”, disse Kim Lewandowski, da equipe de segurança de código aberto do Google, e Mark Lodato, da equipe de autorização binária da Borg.

“Em sua forma final, o SLSA será diferente de uma lista de melhores práticas em sua aplicabilidade: ele suportará a criação automática de metadados auditáveis ​​que podem ser alimentados em mecanismos de política para fornecer ‘certificação SLSA’ a um pacote ou plataforma de construção em particular.”

A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável. Ele compreende quatro níveis diferentes de sofisticação progressiva de segurança de software, com o SLSA 4 oferecendo um alto grau de confiança de que o software não foi corrigido incorretamente.

SLSA 1 – Requer que o processo de construção seja totalmente programado / automatizado e gere proveniência

SLSA 2 – Requer o uso de controle de versão e um serviço de compilação hospedado que gera proveniência autenticada

SLSA 3 – Requer que as plataformas de origem e construção atendam a padrões específicos para garantir a auditabilidade da origem e a integridade da procedência

SLSA 4 – Requer uma revisão de duas pessoas de todas as alterações e um processo de construção hermético e reproduzível

“Níveis mais altos de SLSA exigem controles de segurança mais fortes para a plataforma de construção, tornando mais difícil comprometer e ganhar persistência”, observaram Lewandowski e Lodato.

Embora o SLA 4 represente o estado final ideal, os níveis mais baixos fornecem garantias de integridade incrementais, ao mesmo tempo que torna difícil para os agentes mal-intencionados permanecerem ocultos em um ambiente de desenvolvedor violado por longos períodos de tempo.

Junto com o anúncio, o Google compartilhou detalhes adicionais sobre as Fonte e Envergadura requisitos que precisam ser satisfeitas, e também está convocando a indústria para padronizar o sistema e definir um modelo de ameaça que as esperanças ameaças detalhes específicos SLSA para endereço no longo prazo .

“Alcançar o nível mais alto de SLSA para a maioria dos projetos pode ser difícil, mas melhorias incrementais reconhecidas por níveis mais baixos de SLSA já contribuirão muito para melhorar a segurança do ecossistema de código aberto”, disse a empresa.

Fonte: The Hackers News

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

The FBI is breaking into corporate computers to remove malicious code – smart cyber defense or government overreach?

Artificial Intelligence, Facial Recognition Face Curbs in New EU Proposal