CICADA8 представила решение для защиты цепочки поставок ПО

CICADA8 представила решение для защиты цепочки поставок ПО

CICADA8 представила решение для защиты цепочки поставок ПО

Компания CICADA8 выпустила новое решение под названием CICADA8 Dependency Firewall. Оно предназначено для контроля безопасности сторонних компонентов и зависимостей, которые используются при разработке программного обеспечения. Главная задача — фильтровать потенциально опасные артефакты ещё до того, как они попадут во внутреннюю инфраструктуру компании.

Инструмент ориентирован на команды, которые хотят повысить уровень безопасности своих приложений, не жертвуя при этом скоростью и гибкостью разработки.

Dependency Firewall проверяет внешние зависимости на этапе их загрузки в CI/CD-конвейер или перед сохранением во внутренние репозитории. В случае проблем — например, если у компонента есть уязвимости, неподходящая лицензия или в нём найдены секреты — артефакт блокируется. Разработчику при этом доступен отчёт с пояснениями.

Проверка проводится в реальном времени, а правила можно настраивать: по типам лицензий, CVE/CWE, возрасту компонента или по баллам CVSS. Решение умеет работать с открытыми базами данных, включая Kaspersky OSS, БДУ ФСТЭК и EPSS.

Кроме этого, Dependency Firewall автоматически формирует SBOM (список всех используемых сторонних компонентов) в формате SPDX. Это упрощает аудит, помогает следить за соответствием требованиям безопасности и быстрее реагировать на потенциальные угрозы в цепочке поставок.

Работать CICADA8 Dependency Firewall может как HTTPS-прокси или как отдельный реестр артефактов. Поддерживаются популярные платформы вроде GitLab, Harbor и Kubernetes.

Инструмент совместим с 12 экосистемами языков программирования, контейнерами, бинарными файлами, пакетами ОС и скриптами — то есть подходит как для современных проектов, так и для работы с устаревшим кодом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенник обманул сотрудников магазина под видом технического специалиста

Управление по организации борьбы с неправомерным использованием информационно-коммуникационных технологий МВД России (УБК МВД) сообщило о необычной схеме мошенничества, жертвой которой стали сотрудники одного из магазинов. Злоумышленник представился сотрудником технической службы эквайринговой компании.

Подробности УБК МВД опубликовало в телеграм-канале «Вестник киберполиции России». Мошенник использовал легенду о проверке мобильных терминалов, применяемых для приёма платежей по банковским картам.

Он позвонил директору магазина и, представившись специалистом эквайринговой компании, потребовал провести «тестовую операцию». Для этого руководителю предложили перевести деньги со своего счёта на указанный номер карты.

Аферист уверял, что средства вернутся через 15–20 минут, а для убедительности попросил отправить чек об оплате через облачный сервис для обмена файлами.

Как отметили в УБК МВД, в ходе атаки мошенник использовал сразу несколько приёмов социальной инженерии. Во-первых, для придания звонку официального статуса он настоял, чтобы действия выполнял не рядовой сотрудник, а директор.

Во-вторых, создал ситуацию срочности, вынудив провести «проверку» немедленно, без возможности перепроверить информацию. И, наконец, сам повод выглядел правдоподобно, ведь магазины действительно периодически взаимодействуют с эквайринговыми компаниями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru