Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

pKVM do Android recebe certificação SESIP nível 5: um novo marco para a segurança móvel

2025-08-18
pKVM do Android recebe certificação SESIP nível 5: um novo marco para a segurança móvel

O Google anunciou que o pKVM (protected KVM), o hypervisor que alimenta o Android Virtualization Framework, recebeu a certificação SESIP nível 5 — a primeira para um sistema de segurança de software projetado para implantação em larga escala em eletrônicos de consumo. Isso permite que o Android suporte com segurança as cargas de trabalho isoladas de alta criticidade da próxima geração, como processamento de IA no dispositivo usando dados ultra-personalizados, com os mais altos níveis de garantia de privacidade e integridade. A certificação, conduzida pela Dekra e em conformidade com a norma EN-17927, inclui AVA_VAN.5, o nível mais alto de análise de vulnerabilidades e testes de penetração. Essa conquista estabelece uma pedra angular para a estratégia de segurança multicamadas do Android e fornece aos fabricantes de dispositivos uma base de firmware robusta e de código aberto.

Leia mais
(security.googleblog.com)
Tecnologia Certificação SESIP nível 5

OSS Rebuild: Reconstruindo a confiança nos ecossistemas de pacotes de código aberto

2025-07-22
OSS Rebuild: Reconstruindo a confiança nos ecossistemas de pacotes de código aberto

O novo projeto OSS Rebuild do Google visa fortalecer a confiança nos ecossistemas de pacotes de código aberto reproduzindo artefatos upstream. Respondendo ao aumento dos ataques à cadeia de suprimentos, o OSS Rebuild automatiza a criação de definições de compilação declarativas para PyPI, npm e Crates.io, fornecendo prova de SLSA que atende aos requisitos do Nível 3 de compilação do SLSA sem intervenção do publicador. Ele oferece ferramentas de observabilidade e verificação de compilação, juntamente com definições de infraestrutura para organizações executarem suas próprias instâncias. Ao reconstruir, gerar, assinar e distribuir a origem, o OSS Rebuild ajuda a detectar vários comprometimentos da cadeia de suprimentos, como código-fonte não submetido, ambientes de compilação comprometidos e backdoors furtivos, melhorando a confiança do pacote e acelerando a resposta a vulnerabilidades.

Leia mais
(security.googleblog.com)
Desenvolvimento Segurança da cadeia de suprimentos

Milhões de Qubits com Ruído Podem Quebrar a Criptografia RSA: Nova Estimativa do Google

2025-05-24
Milhões de Qubits com Ruído Podem Quebrar a Criptografia RSA: Nova Estimativa do Google

A pesquisa do Google Quantum AI sugere que um computador quântico com 1 milhão de qubits ruidosos poderia teoricamente quebrar a criptografia RSA de 2048 bits em uma semana. Essa é uma redução de 20 vezes em comparação com sua estimativa de 2019. Embora os computadores quânticos atuais possuam apenas centenas a milhares de qubits, essa descoberta destaca a urgência de migrar para os padrões de criptografia pós-quântica (PQC) para combater futuras ameaças de computação quântica em larga escala. Melhorias nos algoritmos e na correção de erros são fundamentais para essa previsão atualizada, reduzindo significativamente a contagem de qubits necessária para quebrar o RSA. O NIST já lançou padrões PQC, recomendando a desativação de sistemas vulneráveis após 2030 e sua proibição após 2035.

Leia mais
(security.googleblog.com)
Tecnologia criptografia RSA

Google lança biblioteca estável de assinatura de modelos para proteger a cadeia de suprimentos de IA

2025-04-05
Google lança biblioteca estável de assinatura de modelos para proteger a cadeia de suprimentos de IA

O surgimento de grandes modelos de linguagem (LLMs) aumentou o foco na segurança da cadeia de suprimentos de IA. A manipulação de modelos, o envenenamento de dados e outras ameaças são preocupações crescentes. Para abordar isso, o Google, em parceria com a NVIDIA e a HiddenLayer, e com o apoio da Open Source Security Foundation, lançou a primeira versão estável de sua biblioteca de assinatura de modelos. Essa biblioteca usa assinaturas digitais, como as do Sigstore, para permitir que os usuários verifiquem se o modelo usado por um aplicativo é idêntico ao criado pelos desenvolvedores. Isso garante a integridade e a proveniência do modelo, protegendo contra manipulação maliciosa em todo o ciclo de vida do modelo, do treinamento à implantação. Os planos futuros incluem a extensão dessa tecnologia a conjuntos de dados e outros artefatos de ML, construindo um ecossistema de confiança de IA mais robusto.

Leia mais
(security.googleblog.com)
IA Assinatura de Modelo

Google lança Sec-Gemini v1: Uma nova era na cibersegurança impulsionada por IA

2025-04-04
Google lança Sec-Gemini v1: Uma nova era na cibersegurança impulsionada por IA

O Google anunciou o Sec-Gemini v1, um modelo de IA experimental projetado para impulsionar os limites da IA ​​de cibersegurança. Combinando os recursos avançados do Gemini com conhecimento e ferramentas de cibersegurança em tempo quase real, o Sec-Gemini v1 se destaca em fluxos de trabalho essenciais, como análise da causa raiz de incidentes, análise de ameaças e compreensão do impacto de vulnerabilidades. Ele supera outros modelos em benchmarks importantes, mostrando uma melhoria de pelo menos 11% no CTI-MCQ e pelo menos 10,5% no CTI-Root Cause Mapping. O Google está disponibilizando gratuitamente o Sec-Gemini v1 para organizações, instituições, profissionais e ONGs selecionadas para fins de pesquisa, a fim de promover a colaboração e o avanço da IA ​​na cibersegurança.

Leia mais
(security.googleblog.com)
IA

Programa Chrome Root aprimora segurança do Web PKI com MPIC e lint obrigatórios

2025-03-31
Programa Chrome Root aprimora segurança do Web PKI com MPIC e lint obrigatórios

A equipe do Google Chrome anunciou que seu Programa Root está tornando obrigatórias duas melhorias de segurança importantes: a Corroboração de Emissão em Múltiplas Perspectivas (MPIC) e a verificação de certificados (linting). A MPIC reduz o risco de certificados emitidos fraudulentamente devido a ataques BGP, verificando o controle de domínio a partir de vários locais geográficos, enquanto a verificação automatiza a detecção de erros de certificados, melhorando a segurança. Ambos são obrigatórios para certificados de confiança pública a partir de 15 de março de 2025, fortalecendo a segurança e a estabilidade do ecossistema Web PKI e reduzindo a emissão incorreta de certificados. A equipe do Chrome também planeja abandonar métodos fracos de validação de domínio e explorar ativamente soluções para um mundo de criptografia pós-quântica.

Leia mais
(security.googleblog.com)
Tecnologia Segurança Web Certificados Digitais

Eliminando Vulnerabilidades de Segurança de Memória: Um Compromisso Coletivo com o Design Seguro

2025-02-26
Eliminando Vulnerabilidades de Segurança de Memória: Um Compromisso Coletivo com o Design Seguro

Por décadas, vulnerabilidades de segurança de memória têm assolado a indústria de tecnologia, custando bilhões e corroendo a confiança. Abordagens tradicionais não têm sido suficientes. Esta publicação defende uma mudança fundamental para práticas de "design seguro" para eliminar essas vulnerabilidades. Avanços recentes em linguagens seguras para memória (como Rust) e tecnologias de hardware (como o MTE da ARM) tornam isso alcançável. Os autores propõem uma estrutura padronizada para avaliar objetivamente as garantias de segurança de memória, incentivando os fornecedores a investir e, em última análise, permitindo que os clientes exijam e recompensem a segurança, impulsionando a aquisição de sistemas mais seguros. Isso requer uma estrutura neutra em relação à tecnologia, apoiando abordagens diversas, adaptando os requisitos de segurança com base nas necessidades, visando, em última análise, um mundo digital seguro.

Leia mais
(security.googleblog.com)
Desenvolvimento design seguro

Relatório de Segurança do Google Play 2024: Defesas com IA Protegem Bilhões

2025-02-03
Relatório de Segurança do Google Play 2024: Defesas com IA Protegem Bilhões

O relatório de segurança do Google Play de 2024 destaca o compromisso do Google com a segurança de usuários e desenvolvedores. Utilizando detecção de ameaças com tecnologia de IA, políticas de privacidade mais rigorosas e ferramentas aprimoradas para desenvolvedores, o Google Play impediu a publicação de 2,36 milhões de aplicativos que violavam as políticas e baniu mais de 158.000 contas de desenvolvedores maliciosos. O relatório destaca o papel da IA na identificação proativa de malware, a colaboração com desenvolvedores para melhorar a segurança e a privacidade (limitando o acesso a dados confidenciais, opções aprimoradas de exclusão de dados), e a verificação em tempo real do Google Play Protect, que identificou mais de 13 milhões de aplicativos maliciosos de fora do Google Play. Novos recursos de proteção contra fraudes protegem os usuários de golpes e malware. O Google também colabora com governos e parceiros do setor para estabelecer novos padrões de avaliação de segurança de aplicativos para um ecossistema de aplicativos mais seguro.

Leia mais
(security.googleblog.com)
Tecnologia Segurança de Aplicativos IA de Segurança

Google lança OSV-SCALIBR: Uma poderosa biblioteca de análise de composição de software

2025-01-19
Google lança OSV-SCALIBR: Uma poderosa biblioteca de análise de composição de software

O Google lançou o OSV-SCALIBR, uma biblioteca de Análise de Composição de Software (SCA) extensível para escanear pacotes instalados, binários autônomos e código-fonte em busca de vulnerabilidades. Ele suporta várias linguagens de programação e gerenciadores de pacotes e gera Listas de Materiais de Software (SBOMs). O OSV-SCALIBR é o principal mecanismo de SCA usado internamente pelo Google e agora é de código aberto, com planos para integrá-lo ao OSV-Scanner para uma interface de linha de comando mais robusta.

Leia mais
(security.googleblog.com)
Desenvolvimento Segurança de Software