🔵 عنوان مقاله
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
pnpm.io
Mitigating supply chain attacks | pnpm
Sometimes npm packages are compromised and published with malware. Luckily, there are companies like [Socket], [Snyk], and [Aikido] that detect these compromised packages early. The npm registry usually removes the affected versions within hours. However…
🔵 عنوان مقاله
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Securecodewarrior
Secure by Design
Gated Content Landing Page Meta Tag Description
🔵 عنوان مقاله
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Docker makes Hardened Images Catalog affordable for small businesses
The Docker team has announced unlimited access to its Hardened Images catalog to make access to secure software bundles affordable for all development teams at startups and SMBs.
🔵 عنوان مقاله
The New Commandments of Security Teams (10 minute read)
🟢 خلاصه مقاله:
**این مقاله مجموعهای از «فرامین جدید» را پیشنهاد میکند تا تیمهای امنیت از «تیمِ نه» به شریکهای توانمندساز تبدیل شوند. محورهای اصلی عبارتاند از: همکاری زودهنگام و مؤثر با تیمهای محصول و IT، همزبانی درباره ریسک و اهداف مشترک؛ توانمندسازی توسعهدهندگان با paved roads، پیشفرضهای امن، guardrailهای خودکار در CI/CD و راهنماییهای قابلاستفاده؛ بهرهگیری از دانش و چارچوبهای بیرونی بهجای اختراع دوباره؛ اولویتدادن به ارزیابی و مدیریت ریسک تأمینکنندگان با فرآیندهای ساده و لایهبندیشده؛ و تمرکز بر «رفع مشکل و بستن حلقه» بههمراه توضیح شفاف معاملهگریها، انتخاب کنترلهای عملگرایانه، و سنجش نتایج واقعی مانند پذیرش، کاهش حوادث، و بهبود زمانبندیها. هدف نهایی: امنیتی که حرکت کسبوکار را تسهیل کند، نه متوقف.
#Security #DevSecOps #Cybersecurity #Collaboration #DeveloperExperience #VendorRisk #Usability #RiskManagement
🟣لینک مقاله:
https://franklyspeaking.substack.com/p/the-new-commandments-of-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The New Commandments of Security Teams (10 minute read)
🟢 خلاصه مقاله:
**این مقاله مجموعهای از «فرامین جدید» را پیشنهاد میکند تا تیمهای امنیت از «تیمِ نه» به شریکهای توانمندساز تبدیل شوند. محورهای اصلی عبارتاند از: همکاری زودهنگام و مؤثر با تیمهای محصول و IT، همزبانی درباره ریسک و اهداف مشترک؛ توانمندسازی توسعهدهندگان با paved roads، پیشفرضهای امن، guardrailهای خودکار در CI/CD و راهنماییهای قابلاستفاده؛ بهرهگیری از دانش و چارچوبهای بیرونی بهجای اختراع دوباره؛ اولویتدادن به ارزیابی و مدیریت ریسک تأمینکنندگان با فرآیندهای ساده و لایهبندیشده؛ و تمرکز بر «رفع مشکل و بستن حلقه» بههمراه توضیح شفاف معاملهگریها، انتخاب کنترلهای عملگرایانه، و سنجش نتایج واقعی مانند پذیرش، کاهش حوادث، و بهبود زمانبندیها. هدف نهایی: امنیتی که حرکت کسبوکار را تسهیل کند، نه متوقف.
#Security #DevSecOps #Cybersecurity #Collaboration #DeveloperExperience #VendorRisk #Usability #RiskManagement
🟣لینک مقاله:
https://franklyspeaking.substack.com/p/the-new-commandments-of-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Substack
The New Commandments of Security Teams
Guest post by Maya Kaczorowski
🔵 عنوان مقاله
Introducing CodeMender: an AI agent for code security (5 minute read)
🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که بهصورت خودکار آسیبپذیریهای نرمافزاری را شناسایی، اصلاح و از بروز آنها پیشگیری میکند. این Agent با تحلیل مستمر کد، ضعفها را پیدا کرده و برای آنها Patchهای عملی پیشنهاد میدهد تا با تأیید توسعهدهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرفشده برای مدیریت دستی آسیبپذیریهاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریانهای کاری رایج، به تیمها کمک میکند نرمافزار ایمنتری را سریعتر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.
#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps
🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Introducing CodeMender: an AI agent for code security (5 minute read)
🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که بهصورت خودکار آسیبپذیریهای نرمافزاری را شناسایی، اصلاح و از بروز آنها پیشگیری میکند. این Agent با تحلیل مستمر کد، ضعفها را پیدا کرده و برای آنها Patchهای عملی پیشنهاد میدهد تا با تأیید توسعهدهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرفشده برای مدیریت دستی آسیبپذیریهاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریانهای کاری رایج، به تیمها کمک میکند نرمافزار ایمنتری را سریعتر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.
#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps
🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Google DeepMind
Introducing CodeMender: an AI agent for code security
CodeMender is a new AI-powered agent that improves code security automatically. It instantly patches new software vulnerabilities, and rewrites and secures existing code, eliminating entire...
🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
wiz.io
Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog
Wiz Research uncovered 500+ leaked secrets in VSCode and Open VSX extensions, exposing 150K installs to risk. Learn what happened and how it was fixed.