🔵 عنوان مقاله
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
pnpm.io
Mitigating supply chain attacks | pnpm
Sometimes npm packages are compromised and published with malware. Luckily, there are companies like [Socket], [Snyk], and [Aikido] that detect these compromised packages early. The npm registry usually removes the affected versions within hours. However…
🔵 عنوان مقاله
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Securecodewarrior
Secure by Design
Gated Content Landing Page Meta Tag Description
🔵 عنوان مقاله
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Docker makes Hardened Images Catalog affordable for small businesses
The Docker team has announced unlimited access to its Hardened Images catalog to make access to secure software bundles affordable for all development teams at startups and SMBs.