امنیت زنجیره تأمین نرمافزار: نبرد در رگهای کد
سیداحمدرضا محجوب · ۱۴۰۵/۰۱/۱۵ · 11 دقیقه
در خرداد ۱۴۰۵ (ژوئن ۲۰۲۶)، امنیت سایبری دیگر به دیوارهای آتش (Firewalls) سنتی و آنتیویروسهای کلاسیک خلاصه نمیشود؛ بزرگترین و خطرناکترین میدان نبرد، زنجیره تأمین نرمافزار (Software Supply Chain) است. مهاجمان نه به…
۱. چرا زنجیره تأمین به میدان اصلی نبرد تبدیل شد؟
برای درک عمق بحران، کافی است به ترکیب یک نرمافزار مدرن نگاه کنیم. یک اپلیکیشن وب معمولی که با Node.js یا Python نوشته شده، بهطور میانگین چند صد وابستگی مستقیم و غیرمستقیم (Transitive Dependencies)…
۲. آناتومی حمله: از Typosquatting تا تصاحب حساب نگهدارنده
بردارهای حمله به زنجیره تأمین در سال ۱۴۰۵ به یک طبقهبندی نسبتاً پایدار رسیدهاند. شناخت این طبقهبندی، پیشنیاز هر برنامهی دفاعی است:
۳. گذر از SBOMهای ایستا به موجودات زنده (Living SBOMs)
تا دو سال پیش، داشتن یک فهرست ساده از قطعات نرمافزاری (Software Bill of Materials) یک «مزیت رقابتی» محسوب میشد. اما در سال ۲۰۲۶، SBOMهای ایستایی که یکبار هنگام انتشار تولید میشدند و در مخازن کد خ…
۴. استاندارد VEX: پایان عصر نویز هشدارها
اینجاست که استاندارد VEX (Vulnerability Exploitability eXchange) وارد میدان میشود. مشکل کلاسیک اسکنرهای آسیبپذیری این بود که هر CVE موجود در هر وابستگی را با یک سطح هشدار یکسان فریاد میزدند؛ در حا…
تحلیل کامل را در تکناو بخوانید
چطور SBOMهای زنده و استاندارد VEX امنیت ۲۰۲۶ را تغییر میدهند؟
خواندن مقاله →