مع اقتراب صناعة الأمن السيبراني من موسم المؤتمرات ، من المذهل رؤية أعضاء المجتمع حريصين على مشاركة خبراتهم. قد يجادل المرء بأن عملية استدعاء المتحدثين تقدم لمحة عميقة وواسعة عما يدور في العقول الجماعية للنظام البيئي للأمن السيبراني بأكمله. أحد أكثر مواضيع المناقشة إثارة للاهتمام التي تمت ملاحظتها في هذا العام "RSAC 2023 دعوة لتقديم تقرير اتجاهات التقديم"كان في وحول المصدر المفتوح ، والذي أصبح أكثر انتشارًا وأقل عزلًا مما لوحظ سابقًا. لقد تغيرت البرمجيات الحديثة ، ومعها تأتي الآمال والمخاطر.
هل يكتب أي شخص برامجه الخاصة بعد الآن؟
ليس من المستغرب أن يقضي محترفو الأمن السيبراني الكثير من الوقت في الحديث عن البرامج - كيف يتم تجميعها واختبارها ونشرها وتصحيحها. للبرامج تأثير كبير على كل عمل ، بغض النظر عن الحجم أو القطاع. تيلقد تطورت الفرق والممارسات مع زيادة الحجم والتعقيد. نتيجة لذلك ، "يتم تجميع البرامج الحديثة أكثر مما تتم كتابته" ، كما تقول جينيفر تشابليوسكي ، كبيرة المديرين في Target ، حيث تقود DevSecOps وأمن نقطة النهاية ؛ وهي أيضًا عضو في لجنة برنامج مؤتمر RSA. هذا ليس مجرد رأي. تقديرات لمقدار البرامج عبر الصناعة التي تتضمن مكونات مفتوحة المصدر - كود موجه بشكل مباشر في الهجمات الصغيرة والكبيرة - تتراوح من 70٪ إلى ما يقرب من 100٪، مما يخلق مساحة هجوم ضخمة ومتغيرة للحماية ، ومجال تركيز مهم لسلسلة التوريد للجميع.
ينشئ تجميع الكود تبعيات واسعة النطاق - وتبعيات متعدية - كأدوات طبيعية. هذه التبعيات أعمق بكثير من الشفرة الفعلية ، والفرق التي تدمجها تحتاج أيضًا إلى فهم أفضل للعمليات المستخدمة لتشغيلها واختبارها وصيانتها.
تتمتع كل مؤسسة تقريبًا اليوم بالاعتماد الذي لا مفر منه على التعليمات البرمجية مفتوحة المصدر ، مما أدى إلى زيادة الطلب على طرق أفضل لتقييم المخاطر واستخدام الكتالوج وتتبع التأثير واتخاذ قرارات مستنيرة قبل وأثناء وبعد دمج المكونات مفتوحة المصدر في حزم البرامج.
بناء الثقة ومكونات النجاح
المصدر المفتوح ليس مجرد مشكلة تقنية. أو مشكلة عملية. أو قضية الناس. إنه يمتد حقًا عبر كل شيء ، ويلعب المطورون وكبار مسؤولي أمن المعلومات (CISOs) وصانعو السياسات دورًا. الشفافية والتعاون والتواصل عبر كل هذه المجموعات هي مفتاح بناء الثقة الحاسمة.
إحدى النقاط المحورية لبناء الثقة هي قائمة مواد البرمجيات (SBOM) ، والتي نمت في شعبيتها بعد ذلك الأمر التنفيذي للرئيس بايدن في مايو 2021. لقد بدأنا في رؤية ملاحظات ملموسة للفوائد القابلة للقياس الكمي من تنفيذه ، بما في ذلك التحكم في الأصول وإبرازها ، وأوقات استجابة أسرع لنقاط الضعف ، وإدارة دورة حياة البرنامج بشكل أفضل. يبدو أن جر SBOM قد ولّد BOMs إضافية ، من بينها DBOM (data) ، HBOM (الأجهزة) ، PBOM (خط الأنابيب) ، و CBOM (الأمن السيبراني). سيحدد الوقت ما إذا كانت الفوائد تفوق واجب الرعاية الثقيل الذي يقع على عاتق المطورين ، ولكن يأمل الكثيرون في أن تؤدي حركة قائمة المواد إلى طريقة موحدة للتفكير في المشكلة والتعامل معها.
سياسات وعمليات تعاون إضافية ، بما في ذلك قانون تأمين البرامج مفتوحة المصدر, مستويات سلسلة التوريد لإطار عمل البرمجيات (SLSA)و إطار عمل تطوير البرمجيات الآمنة (SSDF) من NIST، يبدو أنه يشجع الممارسات التي جعلت المصدر المفتوح موجودًا في كل مكان - المجتمع الجماعي الذي يعمل معًا بهدف ضمان سلسلة توريد برمجيات آمنة افتراضيًا.
أدى التركيز الصريح على "السلبيات" حول التعليمات البرمجية مفتوحة المصدر والتلاعب بها والهجمات عليها واستهدافها إلى ظهور جهود جديدة للتخفيف من المخاطر المرتبطة بها ، سواء مع عمليات التطوير والتقارير ، فضلاً عن التكنولوجيا. يتم إجراء استثمارات لتجنب تناول المكونات الضارة في المقام الأول. يعد هذا الاستبطان والتعلم الواقعي حول تطوير البرامج ودورة حياة تطوير البرامج (SDLC) وسلسلة التوريد ككل مفيدًا بشكل لا يصدق للمجتمع في هذه المرحلة.
في الواقع ، يمكن أن تستفيد المصادر المفتوحة بشكل كبير ... المصدر المفتوح! يعتمد المطورون على أدوات مفتوحة المصدر لدمج عناصر التحكم الأمنية الهامة كجزء من التكامل المستمر / التسليم المستمر (CI / CD). استمرار الجهود لتوفير الموارد ، مثل بطاقة أداء OpenSSF، مع وعدها بالتسجيل الآلي ، و إطار عمل سلسلة التوريد الآمنة (SSC) للبرامج مفتوحة المصدر (OSS)، وهو إطار يركز على الاستهلاك مصمم لحماية المطورين من تهديدات سلسلة التوريد من برمجيات المصدر المفتوح في العالم الحقيقي ، ما هما إلا مثالين على الأنشطة الواعدة التي ستدعم الفرق أثناء تجميعها للبرامج.
معا أقوى
المصدر المفتوح كان وسيستمر تغيير لعبة البرمجيات. لقد أثرت على الطريقة التي يبني بها العالم البرمجيات. لقد ساعد في تسريع وقت الوصول إلى السوق. لقد حفز الابتكار وخفض تكاليف التطوير. يمكن القول إنه كان له تأثير إيجابي على الأمن ، لكن لا يزال يتعين القيام بالعمل. وبناء عالم أكثر أمانًا يتطلب اجتماع القرية معًا لتبادل الأفكار وأفضل الممارسات مع المجتمع الأكبر.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- من نحن
- في
- أنشطة
- إضافي
- بعد
- ضد
- الكل
- من بين
- و
- أي شخص
- اقتراب
- تقترب
- المنطقة
- تجادل
- حول
- تجميعها
- ممتلكات
- أسوشيتد
- مهاجمة
- الهجمات
- الآلي
- أصبح
- قبل
- يجري
- مفيد
- تستفيد
- الفوائد
- أفضل
- أفضل الممارسات
- أفضل
- بايدن
- مشروع قانون
- واسع
- ابني
- يبني
- الأعمال
- دعوة
- يهمني
- الأقسام
- سلسلة
- رئيس
- الكود
- للاتعاون
- التعاون
- جماعي
- آت
- لجنة
- Communication
- مجتمع
- تعقيد
- مكونات
- مؤتمر
- مؤتمر
- سلبيات
- استمر
- واصل
- مراقبة
- ضوابط
- التكاليف
- استطاع
- يخلق
- خلق
- حرج
- الأمن السيبراني
- دورة
- القرارات
- عميق
- أعمق
- التوصيل
- الطلب
- نشر
- تصميم
- المطورين
- التطوير التجاري
- مباشرة
- مدير المدارس
- مناقشة
- مدفوع
- أثناء
- النظام الإيكولوجي
- جهود
- شجع
- نقطة النهاية
- أمن نقطة النهاية
- ضمان
- كامل
- تقديرات
- كل
- كل شخص
- كل شىء
- تطورت
- أمثلة
- تنفيذي
- خبرة
- الاسم الأول
- تركز
- الشرق الأوسط
- الإطار
- تبدأ من
- معطى
- هدف
- أكبر
- جدا
- مجموعات
- أجهزة التبخير
- ساعد
- كيفية
- HTTPS
- ضخم
- الأفكار
- التأثير
- التنفيذ
- in
- يشمل
- بما فيه
- دمج
- زيادة
- لا يصدق
- لا يصدق
- العالمية
- معلومات
- امن المعلومات
- وأبلغ
- الابتكار
- دمج
- الاستثمارات
- قضية
- IT
- جينيفر
- القفل
- كبير
- قيادة
- يؤدي
- ومستوياتها
- الحياة
- دورة الحياة
- الكثير
- صنع
- المحافظة
- جعل
- إدارة
- تلاعب
- كثير
- تجارة
- المواد
- عضو
- الأعضاء
- مجرد
- ربما
- العقول
- تخفيف
- تقدم
- الأكثر من ذلك
- أكثر
- حركة
- طبيعي
- تقريبا
- حاجة
- جديد
- نيست
- عروض
- ضباط
- ONE
- جاكيت
- المصدر المفتوح
- مراجعة
- منظمة
- لنا
- الكلي
- الخاصة
- جزء
- مجتمع
- خط أنابيب
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- البوينت
- سياسات الخصوصية والبيع
- صناع القرار
- شعبية
- إيجابي
- الممارسات
- سابقا
- المشكلة
- عملية المعالجة
- العمليات
- المهنيين
- البرنامج
- وعد
- واعد
- حماية
- تزود
- وضع
- سريع
- RE
- العالم الحقيقي
- عقار مخفض
- بغض النظر
- اعتماد
- بقايا
- التقارير
- الموارد
- استجابة
- نتيجة
- المخاطرة
- النوع
- آر إس إيه
- com.rsaconference
- يجري
- يقول
- حجم
- النقاط
- الموسم
- القطاع
- تأمين
- تأمين
- أمن
- يبدو
- كبير
- مشاركة
- التحول
- هام
- المقاس
- صغير
- لقطة
- So
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- مصدر
- شفرة المصدر
- سرعة
- أنفق
- كومات
- المسرح
- ابتداء
- التقديمات
- هذه
- تزويد
- سلسلة التوريد
- الدعم
- المساحة
- يأخذ
- الحديث
- الهدف
- المستهدفة
- استهداف
- فريق
- تكنولوجيا
- تجربه بالعربي
- •
- العالم
- من مشاركة
- تفكير
- هذا العام
- التهديدات
- الوقت
- مرات
- إلى
- اليوم
- سويا
- أدوات
- المواضيع
- مسار
- جر
- الشفافية
- جديد الموضة
- الثقة
- واسع الانتشار
- فهم
- تستخدم
- فيليج
- رؤية
- نقاط الضعف
- طرق
- ابحث عن
- سواء
- التي
- كامل
- واسع الانتشار
- سوف
- للعمل
- عامل
- العالم
- اكتب
- مكتوب
- عام
- زفيرنت