La chaîne d'approvisionnement des logiciels comprend tout, de la programmation au déploiement, y compris les bibliothèques (open source), les outils de construction et même les serveurs sur lesquels ils s'exécutent. Chaque étape représente un maillon faible potentiel, tout comme le paysage actuel. Loin d'être sûr. Les attaques sur la supply chain sont en hausse, avec une augmentation de 650 % enregistrée en 2021. Voici les principales vulnérabilités présentées par la sécurité de la supply chain logicielle :
Dépendances open source : une forte dépendance au code open source, mais le suivi des vulnérabilités et la gestion des mises à jour peuvent rapidement devenir un véritable gâchis.
Généralisation des outils et mauvaise configuration : chaque développeur, ingénieur logiciel et CTO a ses outils préférés, mais un mélange d'entre eux, associé à une configuration incorrecte, a tendance à introduire des vulnérabilités pouvant provoquer une faille de sécurité.
Flux de travail opaques et complexes : le développement de logiciels modernes implique des pipelines et une automatisation complexes, ce qui rend difficile l'identification des problèmes.
Les conséquences de la non-sécurisation d'une chaîne d'approvisionnement en logiciels peuvent être graves, comme des violations de données, des pertes financières et des atteintes à la réputation, pour n'en nommer que quelques-unes. Il est donc important de sécuriser les composants qui composent la supply chain logicielle. Les conteneurs constituent actuellement l'unité de déploiement la plus courante. Dans le monde cloud natif, ils sont particulièrement importants.
Cependant, son architecture en couches (contenant du code, des bibliothèques et des dépendances) agrandit la surface d'attaque. Chaque couche comporte des vulnérabilités potentielles, multipliant les risques. Suivre et corriger ces vulnérabilités sur une flotte de conteneurs devient un jeu de taupe, transformant la chaîne d'approvisionnement en un enchevêtrement de problèmes de sécurité.
Qu'est-ce que Wolfie ?
Wolfie Il s'agit d'une distribution Linux et son objectif est de fournir une couche de base sécurisée pour les images de conteneurs. Il est communément commercialisé sous le nom de « Undistro ». Il a été conçu, construit et activement entretenu avant Garde-chaîne communauté, dont beaucoup sont des professionnels expérimentés de la sécurité logicielle. Collectivement, ils visent à maintenir Wolfi sans CVE !
J'ai appris à profiter de Wolfi en lisant la documentation associée OccupéBox Et les Alpes. Alpine Linux et OccupéBox Ils sont connus pour leur approche minimaliste du monde Linux. Il donne la priorité aux faibles encombrements, à l'efficacité et à la sécurité, ce qui le rend idéal pour les environnements aux ressources limitées tels que les conteneurs, les systèmes embarqués et les serveurs – et les principes de conception de Wolfi découlent en grande partie de ces principes. Wolfi est conçu dès le départ pour prendre en charge les paradigmes informatiques modernes tels que les conteneurs.
Que sont les packages de build cloud natifs ?
Forfaits de construction C'est un moyen de créer des conteneurs à partir du code source. En ce sens, c'est une alternative à docker build. Il n'utilise pas d'architectures comme Dockerfiles, mais fournit une conteneurisation prête à l'emploi. Cloud Native Buildpacks (CNB) est une spécification Buildpacks, ce qui signifie qu'elle régit certains aspects de la façon dont Buildpack est conçu et exige qu'il aide à créer des conteneurs basés sur OCI.
Un bon exemple de Cloud Native Buildpacks est également prêt pour la production Paquito.
En interne, Buildpacks utilise l'image de construction et l'image d'exécution pour créer des conteneurs. Ces images sont utilisées comme couches dans le conteneur final et contribuent ainsi de manière significative à la sécurité du conteneur final. L'utilisation de Wolfi comme image de construction et/ou d'exécution permet de réduire le nombre de CVE pour l'image finale produite.
La meilleure façon de profiter des Buildpacks est d'utiliser sur lui – Interface de ligne de commande – qui permet à l'utilisateur de créer un conteneur à partir du code source.
Quel est l'avantage d'utiliser BuildPacks et Wolfi ensemble ?
il y a beaucoup. Tout d’abord, les conteneurs sont de bien meilleure qualité. Buildpacks et Wolfi apportent tous deux des avantages significatifs, car la nature des images et des conteneurs est complètement transformée, par rapport à l'utilisation de Docker et Jammy, dans le processus. L'utilisation de Wolfi offre deux avantages distincts : les images sont plus petites et Wolfi ne contribue à aucun CVE. L'utilisation de Buildpacks permet de créer des images plus faciles à automatiser, plus modulaires et plus faciles à utiliser que celles créées avec Docker.
Assurez-vous que l'installation fonctionne correctement en exécutant des commandes simples pour les deux outils. Par exemple,
Voici les étapes pour créer un conteneur pour une application typique :
Créer une image de base
Cette étape se compose de deux parties. Tout d’abord, écrivez un Dockerfile. Ce Dockerfile configure une image de base avec une configuration d'utilisateur et de groupe spécifique pour créer et exécuter des applications (créées à l'aide de Cloud Native Buildpacks) dans un environnement confiné. Il fournit également les informations cibles CNB nécessaires à la conformité.
Créer une image de lecture
Comme dans la première étape, spécifiez un Dockerfile pour l'image de démarrage et exécutez la commande docker build pour la construire. Nous ferons référence à cette image dans des étapes ultérieures.
Comme vous le remarquerez, il s'agit d'un Dockerfile presque identique. Ensuite, exécutez la commande build.
Créer un constructeur
Cette étape nécessite également d'abord d'écrire le fichier de configuration. Ce fichier, appelé builder.toml, définira le schéma de configuration qui sera utilisé pendant tout le cycle de vie du Buildpack.
Le fichier de configuration builder.toml fait trois choses. Premièrement, il comprend deux Buildpacks liés à Java, en donnant la priorité à un natif de Maven et Un de Paquito – Famille open source, Packages de construction prêts pour la production. Ensuite, il détermine l'ordre dans lequel le Buildpack est détecté pendant le processus de construction. Enfin, il inclut des références à une image de base spécifique pour la construction et à une image d'exécution spécifique pour l'exécution des applications (que nous avons toutes deux créées au cours des étapes précédentes).
Créez un générateur avec cette configuration (builder.toml) à l'aide de la commande suivante.
Utiliser le constructeur pour exporter un conteneur
Utilisez la sous-commande build with pack pour créer un conteneur. Pensez à vous référer au code source.
Le constructeur analysera le code source de l'application pour déterminer son type et ses dépendances, sur la base desquels il appliquera une série de packages de construction, chacun étant chargé de contribuer à certaines couches de l'image finale. Les Buildpacks créeront les couches nécessaires pour l'image, y compris les dépendances, les composants d'exécution et l'application elle-même. Les couches seront ensuite regroupées dans une image de conteneur complète, ce qui donnera l'image nommée ramiyengar/wolfi-java.
Comment mettre cela à profit
Tout d’abord, commencez à tirer parti des Buildpacks dans votre flux de travail de création de conteneurs. Les équipes d’ingénierie et d’exploitation verront d’énormes avantages dans ce que Buildpacks a à offrir. Les packages de build sont disponibles pour chaque langage et framework. Il est également composable en formes composées permettant de créer des images pour des applications écrites dans plusieurs langues. Une fois que vous êtes à l'aise avec la façon dont Buildpacks exporte ses images, passez à son amélioration avec des images de base plus petites et plus sécurisées.
YOUTUBE.COM/THENEWSTACK
La technologie évolue rapidement, ne manquez jamais un épisode. Abonnez-vous à notre chaîne YouTube pour diffuser tous nos podcasts, interviews, démos et bien plus encore.
Participer
Ram Iyengar est ingénieur de pratique et éducateur dans l’âme. Il a été poussé (vérifiez) vers l'évangélisation technologique tout au long de son parcours en tant que développeur et n'a pas regardé en arrière depuis ! Il aime aider les équipes d'ingénierie du monde entier à découvrir de nouvelles choses…
Au cours des derniers mois, des rumeurs ont couru selon lesquelles Apple envisageait de lancer un iPad doté d'un écran OLED. Le géant de la technologie a du pain sur la planche car Wacom a pris le dessus alors que la société a dévoilé sa première tablette OLED connue sous le nom de Film.
L'écran de 13,3 pouces de Samsung offre « une résolution Full HD avec… un rapport de contraste de 100 000:1 ». Il dispose de nombreuses fonctionnalités d'amélioration de l'image telles que la prise en charge de l'ensemble de la gamme de couleurs DCI-P3. Movink a notamment été validé selon les normes Pantone et Pantone SkinTone, permettant à l'appareil de reproduire avec précision une large gamme de couleurs et de tons chair.
Ce que vous remarquerez à propos de l'appareil Wacom, c'est qu'il est incroyablement fin. Il mesure 4 mm d'épaisseur et ne pèse que 420 grammes (environ une livre). Selon l'annonce, cela rend le Movink « 66 % plus fin et 55 % plus léger » que le Wacom One 13 Touch de taille similaire. La société déclare dans un message communautaire qu'elle a pu atteindre cette taille car la tablette n'a pas de rétroéclairage. Ils affirment que les écrans OLED sont suffisamment lumineux pour que l'écran n'ait pas besoin d'aide supplémentaire.
Comme il lui manque ce composant, les utilisateurs n’auront pas à faire face à une chaleur excessive ou à des fuites de lumière. Ce dernier est un effet où la lumière pénètre dans les bords et les coins de l'écran, ruinant la qualité de l'image. C’est courant sur les écrans LCD. Le verre du Movink est recouvert d'un revêtement anti-éblouissant pour garantir la clarté dans les environnements lumineux. De plus, il protège contre la « distorsion des couleurs », afin que les artistes aient la liberté de s'exprimer sans se soucier des problèmes de sortie.
La configuration de Movink est très simple. Il dispose d'un port USB-C sur le côté gauche qui peut être utilisé pour se connecter à un périphérique externe comme un PC. Il prend en charge les versions récentes de Windows, macOS, Android et ChromeOS. Il y a un autre USB-C sur la droite pour plus de puissance si vous en avez besoin. De chaque côté de la tablette se trouve un bouton personnalisable qui peut être lié à des fonctions spécifiques comme l'activation ou la désactivation des fonctions de l'écran tactile.
Dans le cadre du pack Movink, la société propose gratuitement un stylet Wacom Pro Pen 3 avec un « porte-plume » pour loger les pointes du stylet. Vous pouvez bien entendu utiliser d’autres stylos. Une liste des stylets compatibles est disponible sur le site Web de Wacom. La page contient également une liste d'appareils tiers compatibles. Par exemple, tous les systèmes Android ne prennent pas en charge Movink ; Seuls quelques-uns fonctionnent comme le Samsung Galaxy S24.
Movink de Wacom sera disponible à partir du 27 mai sur son site officiel au prix de 750 $ US/730 £/1 300 AU $. Malgré notre préférence pour une tablette, sera-t-elle vraiment plus performante que l'iPad OLED, qui offrira bien plus que du dessin et du design ? Il est peu probable. Cependant, Wacom pourrait prendre une longueur d'avance. L'analyste du secteur Ross Young affirme que le prochain appareil d'Apple est confronté à des problèmes de production qui pourraient retarder les expéditions.
Recevez les offres les plus intéressantes dans votre boîte de réception ainsi que des actualités, des critiques, des opinions, des analyses et bien plus encore de la part de l'équipe TechRadar.
Si vous recherchez des recommandations, consultez la liste de TechRadar des meilleures tablettes graphiques de 2024.
Cela a maintenant été confirmé – enfin, à peu près. La mise à jour iOS 18 d'Apple, qui sera bientôt lancée, inclura des fonctionnalités d'IA qui seront entièrement gérées sur l'appareil. Lorsque l’iPhone 16 sera lancé cet automne, il constituera une formidable combinaison qui offrira des fonctionnalités, une sécurité et une confidentialité révolutionnaires.
En effet, iOS 18 sur iPhone 16 fournira toutes les fonctionnalités d'IA proposées par Apple lors du lancement de son logiciel mis à jour, de la manière la plus sécurisée possible.
Selon un récent rapport de Bloomberg, Apple développe son propre modèle de langage large (LLM) pour alimenter les fonctionnalités d'IA générées par le matériel de la série iPhone 16. Les propres fonctionnalités d'IA d'Apple ne surpasseront probablement pas celles de ses concurrents, mais la manière dont elles le font. » « Cela change encore la donne. » Bloomberg Le commentateur Apple Mark Gurman a écrit dans son livre : emploi les nouvelles.
« Les outils d'IA d'Apple peuvent être moins puissants et moins compétents dans certains cas (l'entreprise peut combler les lacunes en collaborant avec Google et d'autres fournisseurs d'IA), mais cette approche rendra les temps de réponse beaucoup plus rapides. « Ce sera plus facile pour Apple. Gorman a ajouté. Maintenez la confidentialité.
Apple a déployé cette semaine un ensemble de petits modèles de langage d'IA open source appelés OpenELM, suffisamment petits pour fonctionner directement sur un smartphone. Des modèles de recherche de validation de principe pourraient constituer la base des futures offres d'IA sur appareil d'Apple, Ars Technica Il écrit.
La stratégie IA iOS 18 d'Apple
Cela correspond à ce que nous savons jusqu'à présent sur la stratégie d'IA du fabricant d'iPhone. L'année dernière, Apple a acheté la startup canadienne Darwin AI, une entreprise qui a développé une technologie capable de rendre les systèmes d'intelligence artificielle plus petits et plus rapides.
Les fonctionnalités d'IA d'Apple, notamment les améliorations de Siri et les fonctionnalités de résumé automatique et de saisie semi-automatique dans les applications, devraient mieux fonctionner sur l'iPhone 16 lors de son lancement. En effet, le nouvel iPhone qu'Apple lancera bientôt comprendra une puce plus puissante capable d'alimenter ces fonctionnalités d'IA.
La puce A18 Pro de nouvelle génération d'Apple pour les modèles iPhone 16 Pro comportera une taille de puce plus grande pour améliorer les performances de l'IA, selon Jeff Poe, analyste en investissement. MacRumeurs.
Cela pourrait signifier que les utilisateurs d’iPhone 16 peuvent accéder à davantage de fonctionnalités d’IA, les appareils moins puissants ne pouvant accéder qu’aux bases de l’IA d’iOS 18. Après tout, Apple avait auparavant des fonctionnalités limitées pour certains iPhones, comme lors du lancement de Dynamic Island sur l’iPhone 14.
Surligneur de confidentialité Apple
Apple se différencie depuis des années en matière de confidentialité et de sécurité. Confidentialité « C'est Apple », déclare l'une des publicités du fabricant d'iPhone.
Faire une grosse affaire sur le traitement matériel est un excellent moyen pour Apple de se différencier dans le domaine de l'IA, en particulier face à son principal concurrent, Android de Google.
Google n'est pas stupide, le géant de la technologie sait également que les gens se soucieront de la confidentialité lors de l'achat de ses fonctionnalités d'IA. L'IA hybride utilisée par Samsung permet aux utilisateurs de bénéficier d'une certaine confidentialité et sécurité pour la manipulation des appareils ainsi que d'une fonctionnalité maximale des fonctionnalités d'IA.
« Cela signifie que les tâches d'IA les plus simples sont traitées sur l'appareil et, idéalement, toutes les tâches utilisant des données personnelles et sensibles sont également traitées localement. » Forbes écrit Zach Duffman. « Tout le reste, y compris la recherche ou la création de documents, sera probablement transféré vers le cloud. »
Le traitement de l'IA sur l'appareil « s'inscrit parfaitement dans les engagements d'Apple de donner la priorité à la confidentialité des utilisateurs », déclare Jake Moore, conseiller mondial en cybersécurité chez ESET. « En traitant les données localement sur l'appareil, il réduit les transmissions externes et augmente la sécurité, mais lorsqu'il est suffisamment robuste, il réduit également la latence pour des temps de réponse plus rapides. »
« Le traitement local à bord donne également aux utilisateurs un meilleur contrôle sur leurs données et renforce un message important de confiance dans une technologie relativement nouvelle où la protection des données est primordiale. »
C'est certainement un équilibre difficile à trouver. La sécurité par rapport à la fonctionnalité est un problème séculaire, mais il n’a jamais été aussi important avec la croissance et l’évolution rapides des fonctionnalités d’IA arrivant sur les smartphones.
Il est difficile de dire combien il restera sur l’appareil à ce stade. Apple en dévoilera davantage sur sa stratégie en matière d'IA lors de sa conférence mondiale des développeurs en juin.
Il est très probable qu'Apple fasse appel à Google ou à OpenAI pour effectuer des traitements plus complexes en dehors de l'appareil. Mais pour l’instant, il peut vanter ses références en matière de confidentialité et de sécurité, l’IA restant entièrement sur l’iPhone.
De nombreuses applications de clavier chinoises, certaines provenant de grands fabricants de téléphones, peuvent divulguer des frappes au clavier à des espions, mettant potentiellement en danger trois quarts de milliard de personnes, selon une étude du Citizen Lab de l'Université de Toronto.
Comme le laboratoire les résultats [PDF] Expliquez : « Il n'existe aucun moyen de faire tenir des dizaines de milliers de caractères chinois sur un seul clavier. »
Les ordinateurs destinés aux locuteurs chinois utilisent donc le logiciel Input Method Editor (IME), dont le plus courant utilise le Pinyin, qui permet de représenter les sons du mandarin à l'aide de l'alphabet latin. Les smartphones destinés à être utilisés par les locuteurs chinois incluent souvent des applications de clavier Pinyin, également disponibles dans les magasins d'applications.
Mais mapper l'alphabet latin aux caractères chinois n'est pas facile, c'est pourquoi certaines applications Pinyin téléchargent vos frappes sur le cloud pour les traiter.
Selon Citizen Lab, l'application Pinyin de Baidu utilise un cryptage faible, de sorte que les frappes effectuées par les utilisateurs sont vulnérables à l'interception par une écoute indiscrète qui peut donc lire toutes les entrées. Les applications de Samsung, Xiaomi, OPPO, Honor et iFlytek utilisent des crypto-monnaies qui ont déjà été compromises grâce à un exploit qui permet aux oreilles indiscrètes actives et passives d'intercepter les frappes au clavier. L'application Pinyin de Baidu pour Windows est confrontée au même problème.
Les applications de Tencent, Xiaomi, OPPO et Vivo rencontrent des problèmes qui permettent à une écoute indiscrète active d'intercepter les frappes.
Les applications IME sont conçues pour s'adapter à différents appareils, et certaines versions des applications IME contiennent des vulnérabilités qui n'existent que sur certains appareils.
Citizen Lab a fait part de ses conclusions aux entreprises concernées, et les résultats ont été mitigés.
« Toutes les sociétés, à l'exception de Baidu, Vivo et Xiaomi, ont répondu à nos informations », indique le rapport du laboratoire. Baidu a résolu les problèmes les plus graves découverts par les chercheurs, mais il ne les a pas tous résolus.
Tencent a promis de réparer ses produits d'ici le 1er avril, mais il semble qu'il ne l'ait pas fait au moment de mettre sous presse – peut-être parce qu'il considère que l'une des applications non sécurisées a atteint sa fin de vie.
Même si les applications sont mises à jour pour corriger les failles découvertes par Citizen Lab, l'organisation craint que les difficultés de mise à jour du logiciel entraînent la persistance des problèmes. Par exemple, les appareils Honor ne permettent pas de mettre à jour les applications du clavier. La mise à jour des applications Samsung nécessite la création d'un compte. Les chercheurs du laboratoire ont également constaté que certaines mises à jour d’applications sont géobloquées.
« L’ampleur de ces graves vulnérabilités ne peut être sous-estimée », conclut le rapport, car les applications de clavier étudiées par Citizen Lab détiennent plus de 95 % de part de marché en Chine, et les fabricants de téléphones qui ont préinstallé des logiciels vulnérables détiennent collectivement la moitié du marché.
Selon les estimations du Citizen Lab, environ 780 millions de personnes risquaient d’être surveillées par leur smartphone.
Et la situation est encore pire : l'année dernière, le laboratoire a découvert des problèmes similaires dans une application de saisie populaire appelée Sogou, conduisant à « une estimation selon laquelle environ 1 milliard d'utilisateurs sont affectés par cette classe de vulnérabilités ».
À ce stade, les lecteurs pourraient en conclure que le gouvernement chinois ne verrait pas d’inconvénient à accéder aux smartphones de ses citoyens.
Citizen Lab suggère que cette hypothèse est faible – parce que Pékin n’a pas besoin de portes dérobées car il collecte déjà des données de frappe, n’aime pas l’idée que des tiers fassent de même et fait constamment pression pour améliorer la sécurité des logiciels.
Le laboratoire attribue ces problèmes à une réticence à utiliser des chiffres éprouvés, peut-être par crainte qu'ils soient compromis par les puissances occidentales.
La recherche suggère plusieurs actions qui pourraient être entreprises dans l’écosystème des smartphones (développeurs, fabricants et magasins d’applications) pour créer ce type de registre de vulnérabilités.
Cependant, pour l'instant, il contient des conseils plus pratiques : Mettez à jour vos applications Pinyin dès que possible. ®