网络安全快照:中国钢铁工业协会和国家安全局深入CI / CD安全,而斜方排名软件弱点

学习指导从美国政府捍卫CI / CD管道。另外,检出25个最危险的软件的弱点。同时,开发人员喜欢AI工具——什么,他们没有。和更多!

深入六事介意7月14日当周的顶部。

1 -中国钢铁工业协会和国家安全局问题CI / CD防御指导

寻找建议和最佳实践来改善你的持续集成和持续交付的安全(CI / CD)管道?检查联合指导美国网络安全基础设施安全局(CISA)和美国国家安全局(NSA)

一份长达23页的指南,名为“维护持续集成和持续交付(CI / CD)环境”,旨在DevSecOps团队负责快速发展和释放代码投入生产。

“MCAs(恶意网络演员)可以影响几倍乘以利用软件部署到多个操作环境的来源,”导游。“利用CI / CD环境,mca可以获得一个入口进入公司网络和敏感数据的访问和服务。”

指南列出了风险对CI / CD管道,描述了攻击表面轮廓威胁场景和细节活跃硬化选项区域包括身份验证和访问;开发环境;和开发过程。

^{(来源:中国钢铁工业协会/美国国家安全局)}

更多信息关于CI / CD和供应链安全:

• ”OWASP前十名CI / CD安全风险(OWASP)
• ”7的最佳实践,以确保你的CI / CD管道的安全”(TechTarget)
• ”5保护CI / CD管道的最佳实践”(信息世界”)
• ”安全开发和部署指导”(英国国家网络安全中心)
• ”对CI / CD安全四个关键步骤”(SC杂志)

2 -横切排名软件最大的弱点

横切的年度列表最危险的软件缺陷。这里的新“2023共同弱点枚举(CWE)最危险的软件弱点”排名。

• 这些都是前五名:
  • 禁止入内的写
    cwe - 787
  • 中和不当输入在Web页面生成(“跨站点脚本编制”)
    cwe - 79
  • 不当使用中和特殊元素在一个SQL命令(SQL注入)
    cwe - 89
  • 使用后免费
    cwe - 416
  • 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
    cwe - 78

• 有两个新条目:
  • cwe - 269:# 29 # 22特权管理不当
  • cwe - 863:不正确的授权从# 28 # 24

• 这个弱点不再列表:
  • cwe - 611:不当限制XML外部实体引用

排名计算通过分析公众脆弱国家根源漏洞数据库中的数据映射为前两个日历年CWE的弱点。

“这些弱点导致严重的漏洞在软件。攻击者通常可以利用这些漏洞控制受影响的系统,窃取数据,或防止应用程序工作,”主教法冠声明。

得到更多的细节,请查看:

• 中国钢铁工业协会的声明
• 斜方的声明
• 一个亮点总结
• 深入了解排名的方法
• 的完整的列表

视频

CWE是什么,为什么它是重要的,它怎么能帮助我吗?(CWE & CAPEC程序)

枚举(CWE)是常见的弱点是什么?(Debricked)

云计算3 -银行去疯狂

金融服务组织已经跳进了云计算水域双脚。

这是一个关键的云安全联盟的“云”的金融服务报告,基于采访许多CISOs,首席风险官和其他领导人负责云架构和数据治理的金融服务机构。

“不再是云将问题是否采用但更多关于执行的如何。如何采用原生云安全,如何应用零信任,如何从员工教育所有利益相关方监管机构云合作伙伴?”报告。

这里有一些主要的发现:

• 98%的受访者说,他们的组织是使用某种形式的云计算,从2020年的91%

• 的比例使用云的大部分业务关键的组织工作负载从2020年的17%攀升至32%

• 84%的受访者表示,他们目前监管数据在云架构,高于73%

• 零信任列为头等话题感兴趣的受访者(72%)

下面哪个你最感兴趣的话题关于金融服务行业吗?

^{(来源:云安全联盟的“云”的金融服务报告,2023年6月)}

当被要求识别的主要障碍部署云计算工作负载更敏感,被调查者选出数据隐私规则在顶部,其次是法规遵循需求和技术安全控制缺口。

“主要问题主要源于会议一个非常多样化的监管要求,弹性保持金融系统的完整性和可用性可以适当的个体,这些安全控制可以保证通过第三方合作伙伴和员工正确配置访问控制的能力,”研究。

来获得更多的细节:

• 读了CSA博客”金融服务采用云背后的强风”
• 下载报告”金融服务在云的状态”

更多信息关于金融服务行业云应用和云安全:

• ”美国政府重云计算应用在银行业”(CIO)潜水
• ”新的财政报告评估机会,金融业面临的挑战采用云计算技术”(美国财政部)
• ”云技能差距金融机构面临的一个挑战”(信息周)
• ”财政部表示,云计算带来了金融部门的风险”(华尔街日报)

4 -开发者脚趾小心翼翼地动用人工智能工具的使用

软件开发人员热衷于人工智能开发工具的潜力,但是他们谨慎行事主要是由于担心这些产品目前的准确度和精密度。

这是堆栈溢出进行的一项调查显示,受欢迎的问答网站开发人员。来自185个国家的大约89100名开发人员参与了调查。

“这是在炒作周期的早期对这些新的人工智能技术。我们希望更多的时间可能需要通过之前我们看到开发人员使用更多的人工智能工具更广泛地说,“高级分析师Erin Yepis堆栈溢出的市场研究和见解中写道博客。

主要结论包括:

• 44%的受访者在开发过程中使用人工智能工具,另外26%的计划很快开始使用它们

• 使用集中在只有两个人工智能工具- ChatGPT(83%)和GitHub副驾驶员(56%)

• 提高生产率列为受访者最大收益(32.8%),其次是加速学习和提高效率

• 信任是一个问题,几乎有3%的受访者说他们“高度信任”人工智能工具的准确性

得到更多的细节,请查看:

• 的博客”炒作吗?艾未未的好处为开发人员探索在2023开发人员调查”
• 一个调查总结
• 的完整的检验报告

5 -白宫网络安全概述投资重点

保护关键基础设施。演员破坏和瓦解的威胁。投资于一个有弹性的未来。这些是三个网络安全的投资领域,美国政府部门和机构应该为2025财政年度优先考虑。

所以说,行政管理和预算局代表致函白宫行政部门和机构的首脑。这里有更多的细节关于这些美国政府网络安全优先级。

• 机构应该保护关键基础设施,除此之外,在零信任部署,取得进展和现代化系统接近他们的生活结束

• 关于拆除和威胁中断演员,一个特殊的重点应该放在打击ransomware的持续、协调和目标
• 投资于一个弹性的未来而言,信中强调加强网络工作的重要性和准备未来的量子计算

来获得更多的细节,阅读信和更多信息关于美国政府网络安全措施和重点检查国家网络安全战略,第14028号行政令,提高国家的网络安全,零信任成熟度模型和OMB M-22-18备忘录,加强供应链的安全软件。

6 -中钢协的板是什么?这是一个看

说到烹饪的政府网络安全措施,中钢协小组委员会领导人最近开会讨论他们正在进行的工作。本文展示的一些机构的重点及其现状。

• “改变网络的劳动力”小组委员会正试图获得洞察未来的工作和hybrid-workforce管理。
• 网络卫生“转危为安”小组,重点是确保供应商建立缺省安全的科技产品和设计。
• “提高应变能力和降低系统性风险的关键基础设施”小组集中在协作与16个关键基础设施部门。

其他小组委员会根据中钢协的组织网络安全咨询委员会(原子钟)包括技术咨询委员会,国家网络安全预警系统,和企业网络的责任。

来获得更多的细节,看看中钢协的读出的最新季度会议,原子钟会议议程和原子钟的主页。