- Publicidade -
- Publicidade -
- Publicidade -
Segurança Cibernética

Code provenance ajuda a prevenir ataques de malware na supply chain

- Publicidade -
Foto de Tiago F Santiago Tiago F Santiago Mande um e-mail 14 horas atrásÚltima Atualização 15/06/2025
0 41 2 minutos de leitura
Code provenance ajuda a prevenir ataques de malware na supply chain
How Code Provenance Can Prevent Supply Chain Attacks
- Publicidade -

São Paulo — InkDesign News — Os ataques à cadeia de suprimentos estão em alta, com 45% das organizações previsivelmente afetadas até o final do ano. Especialistas destacam a importância da rastreabilidade do código para prevenir esses incidentes.

Vetor de ataque

Os ataques à cadeia de suprimentos ocorrem quando o código de software é comprometido e afeta os usuários downstream. Exemplos significativos incluem o ataque à SolarWinds em 2020 e a vulnerabilidade Log4j. A crescente complexidade do software e a dependência de bibliotecas de código aberto tornam o cenário mais vulnerável a ataques, com atores maliciosos focando em plataformas amplamente utilizadas, como a biblioteca de registro Java.

Impacto e resposta

As organizações devem prestar atenção à origem de seus artefatos de software para evitar injeções de código malicioso. As incertezas sobre a proveniência do código podem ser comparadas a “encontrar um hambúrguer na beira da estrada e decidir experimentar” (“finding a hamburger on the side of the road and deciding to take a bite”).

“Você quer passar de assumir que tudo está bem com as dependências que você está incorporando e com sua compilação para saber que tudo está bem.”
(“You want to move from assuming that everything is fine with the dependencies that you’re pulling in and with your build toward knowing that everything is fine.”)

— Jennifer Schelkopf, Diretora de Gestão de Produto, GitHub

Análise e recomendações

Uma abordagem recomendada é a implementação do framework SLSA (Supply-chain Levels for Software Artifacts), que estabelece uma lista de controles para prevenir adulterações e garantir a integridade do software. O SLSA promove práticas para verificar a produção e a proveniência dos artefatos, mitigando riscos associados. Adicionalmente, ferramentas como Sigstore e OPA Gatekeeper podem automatizar processos de verificação e rejeição de implementações problemáticas.

Os especialistas ressaltam que a validação adequada por meio de atestações teria detectado a assinatura inválida que levou ao ataque SolarWinds. A mudança de um modelo de confiança implícita para um explícito é fundamental para a segurança cibernética. Com o aumento das ameaças, as empresas devem priorizar a segurança na gestão de suas cadeias de suprimento de software.

À medida que as vulnerabilidades evoluem, as organizações precisam adotar práticas proativas de segurança cibernética para mitigar o impacto de futuros ataques.

Fonte: (Dark Reading – Segurança Cibernética)

- Publicidade -
Etiquetas
Foto de Tiago F Santiago Tiago F Santiago Mande um e-mail 14 horas atrásÚltima Atualização 15/06/2025
0 41 2 minutos de leitura
- Publicidade -
Foto de Tiago F Santiago

Tiago F Santiago

Tiago F. Santiago é Analista de Marketing na C2HSolutions, onde, em sua atuação fixa, combina estratégia e tecnologia para impulsionar soluções digitais. Paralelamente, dedica-se como hobby à InkDesign News, contribuindo com a criação de notícias e conteúdos jornalísticos. Apaixonado por programação, ele projeta aplicações web e desenvolve sites sob medida, apoiando-se em sua sólida expertise em infraestrutura de nuvem — dominando Amazon Web Services, Microsoft Azure e Google Cloud — para garantir que cada projeto seja escalável, seguro e de alta performance. Sua versatilidade e experiência técnica permitem-lhe transformar ideias em produtos digitais inovadores.

Artigos relacionados

94 bilhões de cookies roubados expostos em ataque no Dark Web

94 bilhões de cookies roubados expostos em ataque no Dark Web

2 semanas atrás

FBI alerta sobre ataque de malware em empresa filipina

2 semanas atrás
Adidas confirma ataque, dados de clientes expostos

Adidas confirma ataque, dados de clientes expostos

3 semanas atrás
Scammers se passam por governo no WhatsApp e atacam candidatos

Scammers se passam por governo no WhatsApp e atacam candidatos

14/05/2025
0 0 votos
Classificação do artigo
Inscrever-se
Notificar de
guest

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

0 Comentários
Mais votado
mais recentes mais antigos
Feedbacks embutidos
Ver todos os comentários
- Publicidade -
- Publicidade -
Botão Voltar ao topo
0
Adoraria saber sua opinião, comente.x
Fechar

Adblock detectado

Olá! Percebemos que você está usando um bloqueador de anúncios. Para manter nosso conteúdo gratuito e de qualidade, contamos com a receita de publicidade.
Por favor, adicione o InkDesign News à lista de permissões do seu adblocker e recarregue a página.
Obrigado pelo seu apoio!