امنیت سایبری

امنیت زنجیره تأمین نرم‌افزار: نبرد در رگ‌های کد

سیداحمدرضا محجوب · ۱۴۰۵/۰۱/۱۵ · 11 دقیقه

← بکشید

در خرداد ۱۴۰۵ (ژوئن ۲۰۲۶)، امنیت سایبری دیگر به دیوارهای آتش (Firewalls) سنتی و آنتی‌ویروس‌های کلاسیک خلاصه نمی‌شود؛ بزرگ‌ترین و خطرناک‌ترین میدان نبرد، زنجیره تأمین نرم‌افزار (Software Supply Chain) است. مهاجمان نه به…

۱. چرا زنجیره تأمین به میدان اصلی نبرد تبدیل شد؟

برای درک عمق بحران، کافی است به ترکیب یک نرم‌افزار مدرن نگاه کنیم. یک اپلیکیشن وب معمولی که با Node.js یا Python نوشته شده، به‌طور میانگین چند صد وابستگی مستقیم و غیرمستقیم (Transitive Dependencies)…

۲. آناتومی حمله: از Typosquatting تا تصاحب حساب نگه‌دارنده

بردارهای حمله به زنجیره تأمین در سال ۱۴۰۵ به یک طبقه‌بندی نسبتاً پایدار رسیده‌اند. شناخت این طبقه‌بندی، پیش‌نیاز هر برنامه‌ی دفاعی است:

۳. گذر از SBOMهای ایستا به موجودات زنده (Living SBOMs)

تا دو سال پیش، داشتن یک فهرست ساده از قطعات نرم‌افزاری (Software Bill of Materials) یک «مزیت رقابتی» محسوب می‌شد. اما در سال ۲۰۲۶، SBOMهای ایستایی که یک‌بار هنگام انتشار تولید می‌شدند و در مخازن کد خ…

۴. استاندارد VEX: پایان عصر نویز هشدارها

اینجاست که استاندارد VEX (Vulnerability Exploitability eXchange) وارد میدان می‌شود. مشکل کلاسیک اسکنرهای آسیب‌پذیری این بود که هر CVE موجود در هر وابستگی را با یک سطح هشدار یکسان فریاد می‌زدند؛ در حا…

تحلیل کامل را در تکناو بخوانید

چطور SBOMهای زنده و استاندارد VEX امنیت ۲۰۲۶ را تغییر می‌دهند؟

خواندن مقاله →