×

Федеральные власти США выпустили руководство по защите цепочек поставок npm

Федеральные власти США выпустили руководство по защите цепочек поставок npm

Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.

Уроки из атаки на цепочку поставок ПО SolarWinds были извлечены и воплощены в виде набора рекомендаций , который был выпущен Агентством по кибербезопасности и защите инфраструктуры США (CISA), Аппаратом директора Национальной разведки (ODNI) и Агентством национальной безопасности (NSA). По их мнению, это должно помочь разработчикам избежать будущих атак на цепочки поставок.

Помимо набора рекомендаций от правительства США, разработчики также получили список лучших практик для npm от OpenSSF

По мнению агентств, разработчик несет ответственность за безопасность программного обеспечения. А в сообщении OpenSSF отмечается, что в npm теперь

Такие разработчики, как Майкл Берч, директор по безопасности приложений компании Security Journey, приветствуют активные действия властей. Однако Берч добавляет, что теперь ИБ-специалисты должны воплотить эти наборы рекомендаций в жизнь, а все AppSec-сообщество должно объединиться, чтобы повысить безопасность цепочек доставки ПО.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.