Безопасно проектируйте микросервисы
https://medium.com/@mail.ruchitayal/mind-mapping-micro-services-design-patterns-part-2-c3f875e97f2f

🚀 На Госуслугах появился раздел про кибербезопасность

На портале Госуслуг в разделе «Кибербезопасность – это просто» пользователи могут:

🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные;
🔹 узнать, как обезопасить себя от различных типов угроз – от взлома аккаунта до телефонного мошенничества;
🔹 скачать специальные памятки со списком фраз телефонных мошенников и информацией, которую никогда нельзя раскрывать и др.

Также в рамках федпроекта «Информационная безопасность» Минцифры России совместно с «РТК-Солар» и СПбГУТ запустили три спецпроекта для повышения кибеграмотности граждан.

«КиберЗОЖ» – сайт о простых правилах кибербезопасности

«Сложные несложные пароли» – раздел на сайте «КиберЗОЖ» о качественной защите своего аккаунта

«Кибербуллинг» – истории блогеров в соцсетях о том, как они преодолели кибербуллинг, а также сайт для детей и подростков о борьбе с травлей в интернете

👉 Подробнее на сайте Минцифры

@mintsifry

VMware выпустила патч для критической RCE-уязвимости в Cloud Foundation, гибридной облачной платформе для запуска корпоративных приложений в частных или общедоступных средах.

CVE-2021-39144 затрагивает библиотеку с открытым исходным кодом XStream и имеет почти максимальную базовую оценку CVSSv3 9,8/10, присвоенную VMware.

О ней сообщили Сина Хейркх и Стивен Сили из Source Incite.

Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «root» на устройстве.

Недостаток может быть использован удаленно злоумышленниками, не прошедшими проверку подлинности, в несложных атаках, не требующих взаимодействия с пользователем.

Для устранения CVE-2021-39144 VMware обновила XStream до версии 1.4.19.

Кроме того, выпущены исправления безопасности для продуктов с истекшим сроком эксплуатации.

Компания также выпустила исправления для другой уязвимости CVE-2022-31678, которая может вызвать DoS или раскрыть информацию после успешных атак с внедрением внешних объектов XML (XXE).

VMware также предложено временное решение для тех, кто не может оперативно пропатчить свои устройства.

Администраторам потребуется вход в каждую виртуальную машину диспетчера SDDC в своей среде Cloud Foundation для применения исправления NSX для vSphere (NSX-V), которое обновит библиотеку XStream до версии 1.4.19.

Однако, в отличие от обновлений, обходной путь потребует от администраторов выполнения всех шагов каждый раз, когда создается новый домен рабочей нагрузки VI.

Растущие риски и повсеместное использование открытого исходного кода в разработке программного обеспечения требуют анализа состава программного обеспечения (SCA) для обеспечения безопасности приложений. Руководители служб безопасности должны расширить область применения SCA-инструментов, включив в нее обнаружение вредоносного кода, операционных рисков и рисков цепочки поставок, считают в Gartner. Аналитики Gartner подготовили отчет «Market Guide for Software Composition Analysis», который помогает разобраться в функциональных возможностях класса SCA - Software Composition Analysis, анализ состава ПО - и выбрать подходящий для себя инструмент. Представляем обзор этого документа https://www.tadviser.ru/a/696895

Опубликованы новые редакции iso 27001 и 27005.

https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022