Tänään esittelen teille Veracoden ”uuden” SCA:n, eli vuoden 2018 SourceClear hankinnan. Tämä on agenttipohjainen SCA, ja se integroituu CI/CD pipelineen.
Millainen olisi unelmaloma? Kuukauden mittainen oleilu viiden tähden hotellissa yksityisellä saarella, valkoisten hiekkarantojen ja turkoosinsinisen meren äärellä. Käytännössä, kun budjettirajoite otetaan huomioon ja lapsetkin pitää ottaa mukaan, päädytään paikkaan, jossa lähellä vesipuisto ja ehkä muitakin aktiviteetteja. Kuitenkin lomasta tulee kaikilla tavoilla miellyttävä kaikille osapuolille.
Veracoden stattisen analyysiin kehitettiin aivan uusi skannausmenetelmä, jonka avulla skannaukset voidaan integroida ja optimoida yhä paremmin osaksi kehitysprosessia. Kahden aiemman skannausmenetelmän, IDE Scan ja Policy Scan, ohella Pipeline Scan tekee tietoturvasta saumattoman osan kehitysprosessia.
ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.
Spamhausin tutkijat tunnistivat ja estivät 17602 botnet-komentopalvelinta, joita isännöi 1210 eri verkkoa. Tämä tarkoitti, että botnet-komentopalvelimien määrä kasvoi vuonna 71,5 % vuoteen 2018 verrattuna. Vuodesta 2017 lähtien uusien havaittujen botnet-komentepalvelimien lukumäärä lähes kaksinkertaistui 9500 -> 17602 palvelimeen.
Team Rynkeby – God Morgon on yksi suurimmista ja näkyvimmistä hyväntekeväisyysprojekteista Pohjois-Euroopassa. Projekti yhdistää pyöräilyn ja varainkeruun vakavasti sairaiden lasten auttamiseksi.
”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!” Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.
Mint Security tarjoaa konsultointia, asiantuntijapalveluita ja koulutusta pfSense:lle ja HAProxy:lle
Veracode saavutti tällä viikolla merkittävän virstanpylvään sovellusten tietoturvan saralla kun se julkaisi 10. State of Software Security (SOSS) -raportin.
Forresterin tutkimus osoittaa, että Veracodea käyttävien yritysten tietoturvaongelmien korjaamiseen käytetetty aika laskee jopa 90% aikaisempaan verrattuna. Tutkimuksen mukaan säästö on keskimäärin n. 5,1 MEUR (5,6 milj. $).
Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.
Hakkerit kohdistavat energiansa ja tarmonsa sinne, mistä saa eniten hyötyä vähimmällä vaivalla – nyt Ruby kirjastot kohteena.
DevSecOps on lähestymistapa, jossa turvalliset toimintamallit integroidaan DevOps-prosessiin. DevSecOps edistää joustavaa yhteistyötä kehittäjien (Dev), tietoturvan (Sec) ja tuotannon (Ops) -tiimien välillä.
Jokaisen yrityksen sovellusympäristö on liiketoimintakriittinen ja kasvaa koko ajan. Mobiili- ja pilvipalvelut ovat muuttaneet ja muuttavat dramaattisesti miten liiketoimintaa tehdään.
Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti – turvallisesti.
Kun yrityksen it-toiminnon sertifiointi tai tietoturvastandardin mukaan toimiminen muusta syystä nousee ajankohtaiseksi asiaksi, tarvitaan monesti läpikäynti, jossa tarkastellaan sekä toimitatapoja että työkaluja.
Through Network Behavior Analytics for Splunk and our native integrations for Demisto and Graylog, we instantly enrich network indicators (FQDNs, URLs, and IP addresses) to provide security teams with hunting material.
Veracode State of Software Security 9 – yhteenveto nyt julkaistu ensimmäistä kertaa suomalaisilta suomalaisille ja ihan oikealla suomen kielellä.
Kun Veracodella harkitaan uusien ohjelmointikielin tukea, tarkastelun kohteena ovat asiakkaiden nykyiset teknologiaratkaisut sekä uudet, kehittyvät kielet, joiden avulla voitaisiin tuoda innovaatioita turvallisesti markkinoille nopeammin. Tätä silmällä pitäen Veracode lisäsi äskettäin tuen Apex-, Go- ja PLSQL-ohjelmointikielille.
This blog post will show you how to integrate Travis CI and Veracode. Travis is a cloud based continuous integration (ci) service, that can be used to automate tests and builds for software projects hosted in GitHub.
Tietoturvan pyhää kolmijakomantraa – tietojen luottamuksellisuutta, eheyttä ja saatavuutta on toisteltu alan seminaareissa ja powerpointeissa kulumiseen saakka. Haluan tässä kirjoituksessa keskittyä nimenomaan käytännön esimerkein valaisemaan, mitä tietoturvallisuus yrityksissä tarkoittaa. Oikaisen samalla myös pari väärinkäsitystä siitä, mitä se ei tarkoita.
Tämä blogi on tarkoitettu läpivalaisuksi juuri nyt ajankohtaisista finanssialan ja tietoturvan asioista. Olemme lukeneet sivutolkulla materiaalia, ja tässä kiireiselle lyhyt yhteenveto sekä viittaukset lähdemateriaaleihin. Jos kiireiden keskellä sattuisi löytymään aikaa tutustua vähän pitkällisemminkin asiaan.
Vaikka yritämme tehdä erittäinkin selväksi, mitä mikäkin skanneri milloinkin tekee, kohtaamme kuitenkin aika ajoin toteamuksen ”mutta meillä on jo skanneri”. Tätä on vaikea lähteä kumoamaan. Asiantuntijaroolissa tunnen aina tässä kohtaa suurta tarvetta selittää, myyntiroolissa selittely ei välttämättä tuota suuria voittoja.
Mint Security has a set of predefined delivery models to choose from. These are based on best practices and experience.
Yleinen web-sovelluksen tietoturvan arviointiin käytetty työkalu on tunkeutumistestaus. Rakkaalla lapsella on monta nimeä, ja tunkeutumistestaus tunnetaan myös nimellä pentest eli englanniksi penetration testing. Kyseessä on luvallinen simuloitu hyökkäys, jolla pyritään käyttämään sovellusta siten, että se voi olla vahingollista joko järjestelmälle, järjestelmässä olevalle tiedolle tai järjestelmää kättäville henkilöille.
Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt.
Auditoinnin tilaaminen aloitetaan määrittelemällä sen tarkoitus. Näin saadaan heti lähtökuopissa kiinni siitä, mitä tavoitellaan ja mitä sillä voi enimmillään saavuttaa. Tavoitteiden on oltava realistisia ja niihin on aina luettava mukaan myös oman toiminnan kehittyminen ja virheistä oppiminen.
