CICADA8 представила решение для защиты цепочки поставок ПО

Екатерина Быстрова 08 Июля 2025 - 14:25

Корпорации

RED Security

CICADA8

Средства защиты веб-сайтов (приложений)

Безопасная разработка приложений (DevSecOps)

...

CICADA8 представила решение для защиты цепочки поставок ПО

Компания CICADA8 выпустила новое решение под названием CICADA8 Dependency Firewall. Оно предназначено для контроля безопасности сторонних компонентов и зависимостей, которые используются при разработке программного обеспечения. Главная задача — фильтровать потенциально опасные артефакты ещё до того, как они попадут во внутреннюю инфраструктуру компании.

Инструмент ориентирован на команды, которые хотят повысить уровень безопасности своих приложений, не жертвуя при этом скоростью и гибкостью разработки.

Dependency Firewall проверяет внешние зависимости на этапе их загрузки в CI/CD-конвейер или перед сохранением во внутренние репозитории. В случае проблем — например, если у компонента есть уязвимости, неподходящая лицензия или в нём найдены секреты — артефакт блокируется. Разработчику при этом доступен отчёт с пояснениями.

Проверка проводится в реальном времени, а правила можно настраивать: по типам лицензий, CVE/CWE, возрасту компонента или по баллам CVSS. Решение умеет работать с открытыми базами данных, включая Kaspersky OSS, БДУ ФСТЭК и EPSS.

Кроме этого, Dependency Firewall автоматически формирует SBOM (список всех используемых сторонних компонентов) в формате SPDX. Это упрощает аудит, помогает следить за соответствием требованиям безопасности и быстрее реагировать на потенциальные угрозы в цепочке поставок.

Работать CICADA8 Dependency Firewall может как HTTPS-прокси или как отдельный реестр артефактов. Поддерживаются популярные платформы вроде GitLab, Harbor и Kubernetes.

Инструмент совместим с 12 экосистемами языков программирования, контейнерами, бинарными файлами, пакетами ОС и скриптами — то есть подходит как для современных проектов, так и для работы с устаревшим кодом.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 14:45

Общее Средства поиска уязвимостей Bug Bounty Системы для анализа защищенности информационных систем Средства тестирования на проникновение Аудит информационной безопасности Positive Technologies

На Standoff 17 впервые полностью обесточили виртуальное государство

На кибербитве Standoff 17 произошло то, чего за десять лет существования соревнований еще не было. Сразу две команды атакующих смогли полностью отключить энергосистему виртуального Государства F, погрузив цифровую страну во тьму. Соревнования прошли с 16 по 19 июня в московском Кибердоме и собрали 23 команды белых хакеров из России, Казахстана, Монголии, Вьетнама, Индонезии и Нидерландов.

За несколько дней участники реализовали 245 критических событий на киберполигоне, который имитировал инфраструктуру сразу семи отраслей экономики.

Главной сенсацией стала атака команды Dataeli&only_f4st. Хакеры за 20 шагов вывели из строя все электроподстанции виртуального государства. Позже тот же сценарий смогла повторить команда cR4.sh. Для Standoff это исторический результат — раньше подобный масштабный блэкаут никому не удавался.

Самой атакуемой отраслью оказался телеком. Здесь зафиксировали 74 критических события, включая все девять уникальных сценариев атак. А вот ритейл, наоборот, интересовал атакующих заметно меньше — всего семь успешных инцидентов.

Победителем Standoff 17 стала российская команда DreamTeam. В первую пятерку также вошли cR4.sh, FR13NDS & RHACKERS, Cyb7rC0d3# и Dataeli&only_f4st. Общий призовой фонд соревнований составил 50 тысяч долларов.

На стороне защитников выступали девять команд. За время кибербитвы они выявили 551 инцидент, причем 54 из них были обнаружены непосредственно в процессе отражения атак. Лучший результат по количеству обнаруженных инцидентов показала команда ReKad Team, защищавшая железнодорожную инфраструктуру.

Одной из главных новинок Standoff 17 стала цифровая копия инфраструктуры сети «Вкусно — и точка». Атакующим предложили реализовать девять критических сценариев — от создания фальшивых заказов до захвата административных учетных записей. Однако здесь хакеры остались ни с чем: ни одну из поставленных целей выполнить не удалось.

Еще одной важной темой мероприятия стали открытые кибериспытания. Т-Банк объявил о запуске программы, в рамках которой исследователям безопасности предложат до 12 млн рублей за реализацию одного недопустимого события в корпоративной инфраструктуре.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!