প্রযুক্তিগত ঋণ পরিশোধ করা বনাম নতুন বৈশিষ্ট্য শিপিং এবং কার্যকারিতার মধ্যে আইটি-তে সর্বদা একটি ট্রেডঅফ হয়েছে, যার মধ্যে রয়েছে নির্ভরযোগ্যতা, কর্মক্ষমতা, পরীক্ষা … এবং হ্যাঁ, নিরাপত্তা।
এই "জাহাজ দ্রুত এবং ব্রেক জিনিস" যুগে, নিরাপত্তা ঋণ সঞ্চয় করা একটি সিদ্ধান্ত যা সংস্থাগুলি স্বেচ্ছায় নেয়৷ প্রতিটি সংস্থার জিরা ব্যাকলগগুলিতে "কোনদিন" জন্য সুরক্ষা কাজগুলি ঠাসা থাকে — সুরক্ষা প্যাচ স্থাপন এবং প্রোগ্রামিং ভাষা এবং কাঠামোর নতুন, সবচেয়ে স্থিতিশীল সংস্করণ চালানোর মতো জিনিসগুলি। সঠিক কাজটি করতে সময় লাগে এবং দলগুলি ইচ্ছাকৃতভাবে এই কাজগুলি স্থগিত করে কারণ তারা নতুন বৈশিষ্ট্যগুলিকে অগ্রাধিকার দিচ্ছে৷ সিআইএসও-এর কাজের একটি বড় অংশ হল সেই মুহুর্তগুলিকে স্বীকৃতি দেওয়া যখন নিরাপত্তা ঋণ পরিশোধ করতে হবে।
একটি জিনিস যে তৈরি Log4j শোষণ CISO-এর জন্য এতটাই উদ্বেগজনক ছিল যে এই উপলব্ধি ছিল যে এই বিপুল জমাকৃত ঋণ ছিল যা তাদের রাডারেও ছিল না। এটি ওপেন সোর্স প্রকল্প এবং নির্মাতা, রক্ষণাবেক্ষণকারী, প্যাকেজ ম্যানেজার এবং সেগুলি ব্যবহার করে এমন সংস্থাগুলির বাস্তুতন্ত্রের মধ্যে নিরাপত্তার ফাঁকগুলির একটি লুকানো শ্রেণী উন্মোচন করেছে৷
সফ্টওয়্যার সাপ্লাই চেইন সিকিউরিটি হল সিকিউরিটি ডেট ব্যালেন্স শীটে একটি অনন্য লাইন আইটেম, কিন্তু CISO গুলি এটি পরিশোধ করার জন্য একটি সুসংগত পরিকল্পনা করতে পারে।
দুর্বলতার একটি নতুন শ্রেণি
অধিকাংশ কোম্পানি তাদের নেটওয়ার্ক নিরাপত্তা লক ডাউন সত্যিই ভাল অর্জিত হয়েছে. কিন্তু একটি সম্পূর্ণ শ্রেণীর শোষণ রয়েছে যা সম্ভব কারণ ডেভেলপার বিল্ড সিস্টেম এবং সফ্টওয়্যার আর্টিফ্যাক্ট যা তারা অ্যাপ্লিকেশন লিখতে ব্যবহার করে সেগুলির একটি বিশ্বাস ব্যবস্থা বা হেফাজতের সুরক্ষিত চেইন নেই।
আজ, সাধারণ জ্ঞানের অধিকারী যে কেউ জানে যে নিরাপত্তার ঝুঁকির কারণে একটি এলোমেলো থাম্ব ড্রাইভ না নিয়ে তাদের কম্পিউটারে প্লাগ করতে। কিন্তু কয়েক দশক ধরে, বিকাশকারীরা ডাউনলোড করছে ওপেন সোর্স প্যাকেজ তারা নিরাপদ যে যাচাই করার কোন উপায় ছাড়া.
খারাপ অভিনেতারা এই আক্রমণ ভেক্টরকে পুঁজি করে কারণ এটি নতুন কম ঝুলন্ত ফল। তারা বুঝতে পারে যে তারা এই ছিদ্রগুলির মাধ্যমে অ্যাক্সেস পেতে পারে এবং একবার ভিতরে প্রবেশ করার জন্য তারা যে অনিরাপদ শিল্পকর্ম ব্যবহার করেছিল তার উপর নির্ভরশীল অন্যান্য সমস্ত সিস্টেমে পিভট করে।
বিল্ড সিস্টেম লক ডাউন করে খনন করা বন্ধ করুন
CISO-এর জন্য মৌলিক সূচনা বিন্দু, যা ডেভেলপার গাইডের মত উপকরণে অনুমোদিত "সফটওয়্যার সাপ্লাই চেইন সুরক্ষিত করা,” ওপেন সোর্স ফ্রেমওয়ার্ক যেমন NIST-এর সিকিউর সফটওয়্যার ডেভেলপমেন্ট ফ্রেমওয়ার্ক (SSDF) এবং OpenSSF-এর ব্যবহার শুরু করতে হবে সফ্টওয়্যার আর্টিফ্যাক্টের জন্য সাপ্লাই চেইন লেভেল (SLSA)। এগুলি মূলত আপনার সাপ্লাই চেইন লক করার জন্য নির্দেশমূলক পদক্ষেপ। SLSA লেভেল 1 হল একটি বিল্ড সিস্টেম ব্যবহার করা। লেভেল 2 হল কিছু লগ এবং মেটাডেটা রপ্তানি করা (যাতে আপনি পরে জিনিসগুলি দেখতে এবং ঘটনার প্রতিক্রিয়া করতে পারেন)। লেভেল 3 হল সেরা অনুশীলনের একটি সিরিজ অনুসরণ করা। লেভেল 4 হল সত্যিকারের সুরক্ষিত বিল্ড সিস্টেম ব্যবহার করা। এই প্রথম পদক্ষেপগুলি অনুসরণ করে, CISO গুলি একটি সফ্টওয়্যার সরবরাহ চেইন তৈরির জন্য একটি শক্তিশালী ভিত্তি তৈরি করতে পারে যা ডিফল্টরূপে সুরক্ষিত।
বিকাশকারী দলগুলি কীভাবে প্রথম স্থানে ওপেন সোর্স সফ্টওয়্যারগুলি অর্জন করে সে সম্পর্কে CISO-গুলি নীতিগুলি সম্পর্কে চিন্তা করার কারণে জিনিসগুলি আরও সংক্ষিপ্ত হয়ে ওঠে৷ ডেভেলপাররা কীভাবে জানেন যে তাদের কোম্পানির নীতিগুলি "নিরাপদ" বলে বিবেচিত হয়? এবং তারা কীভাবে জানবে যে তারা যে ওপেন সোর্সটি অর্জন করছে (যা গঠন করে বহুল সংখ্যাগরিষ্ঠতা আজকাল ডেভেলপারদের দ্বারা ব্যবহৃত সমস্ত সফ্টওয়্যারগুলির মধ্যে) কি আসলেই অব্যবহিত?
বিল্ড সিস্টেমগুলিকে লক ডাউন করে এবং সফ্টওয়্যার আর্টিফ্যাক্টগুলিকে পরিবেশে আনার আগে তাদের প্রমাণ যাচাই করার জন্য একটি পুনরাবৃত্তিযোগ্য পদ্ধতি তৈরি করে, সিআইএসওগুলি তাদের সংস্থার সুরক্ষা ঋণে একটি গভীর গর্ত খনন কার্যকরভাবে বন্ধ করতে পারে।
পুরানো সফ্টওয়্যার সাপ্লাই চেইন সিকিউরিটি ঋণ পরিশোধ করার বিষয়ে কি?
আপনি আপনার বেস ইমেজ লক ডাউন করে এবং পরিবেশ তৈরি করে খনন করা বন্ধ করার পরে, এখন আপনাকে আপনার সফ্টওয়্যার আপডেট করতে হবে এবং বেস ইমেজ সংস্করণ সহ আপনার দুর্বলতাগুলি প্যাচ করতে হবে।
সফ্টওয়্যার আপডেট করা এবং CVE প্যাচ করা অত্যন্ত ক্লান্তিকর। এটি বিরক্তিকর, এটি সময়সাপেক্ষ, এটি একটি কাজ - এটি কাজ। এটি সাইবার নিরাপত্তার "আপনার শাকসবজি খান"। এই ঋণ পরিশোধের জন্য CISO এবং উন্নয়ন দলের মধ্যে গভীর সহযোগিতা প্রয়োজন। এটি উভয় দলের জন্য আরও নিরাপদ, উত্পাদনশীল টুলিং এবং প্রক্রিয়াগুলিতে একমত হওয়ার একটি সুযোগ যা একটি সংস্থার সফ্টওয়্যার সরবরাহ চেইনকে ডিফল্টরূপে সুরক্ষিত করতে সহায়তা করতে পারে।
ঠিক যেমন কিছু লোক পরিবর্তন পছন্দ করে না, কিছু সফ্টওয়্যার দল তাদের কন্টেইনার বেস ইমেজ আপডেট করা পছন্দ করে না। বেস ইমেজ হল কন্টেইনার-ভিত্তিক সফ্টওয়্যার অ্যাপ্লিকেশনের প্রথম স্তর। একটি নতুন সংস্করণে একটি বেস ইমেজ আপডেট করা কখনও কখনও সফ্টওয়্যার অ্যাপ্লিকেশনটি ভেঙে দিতে পারে, বিশেষ করে যদি পর্যাপ্ত পরীক্ষার কভারেজ না থাকে। সুতরাং, কিছু সফ্টওয়্যার টিম স্থিতাবস্থা পছন্দ করে, মূলত একটি কার্যকরী বেস ইমেজ সংস্করণে অনির্দিষ্টকালের জন্য ঘুরে বেড়ায় যা সম্ভবত প্রতিদিন সিভিই জমা করছে।
দুর্বলতার এই সঞ্চয় এড়াতে, সফ্টওয়্যার দলগুলিকে ছোট পরিবর্তনের সাথে ঘন ঘন ছবি আপডেট করতে হবে এবং ক্যানারি রিলিজের মতো "উৎপাদনে পরীক্ষা" অনুশীলনগুলি ব্যবহার করতে হবে। কন্টেইনার ইমেজগুলি ব্যবহার করা যা শক্ত, আকারে ন্যূনতম এবং গুরুত্বপূর্ণ সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তা মেটাডেটা দিয়ে তৈরি, যেমন উপকরণের সফ্টওয়্যার বিল (SBOMs), উদ্ভব, এবং স্বাক্ষর, বেস ইমেজে দৈনিক দুর্বলতা ব্যবস্থাপনার সময়-সাপেক্ষ ব্যথা উপশম করতে সাহায্য করতে পারে। এই কৌশলগুলি সুরক্ষিত থাকা এবং উৎপাদন যাতে কমে না যায় তা নিশ্চিত করার মধ্যে সঠিক ভারসাম্য বজায় রাখে।
আপনি যান হিসাবে অর্থপ্রদান শুরু করুন
নিরাপত্তা ঋণ সম্পর্কে অনন্যভাবে অপ্রীতিকর বিষয় হল যে আপনি যখন "কোনোদিন" এর জন্য এটি ফাইল করতে থাকেন, তখন এটি সাধারণত তার মাথা তুলে ধরে যখন আপনি সবচেয়ে ঝুঁকিপূর্ণ হন এবং কমপক্ষে এটি পরিশোধ করতে পারেন। ব্যস্ত ছুটির ই-কমার্স চক্রের ঠিক আগে Log4j দুর্বলতা আঘাত হানে এবং পরের বছরে অনেক প্রকৌশল ও নিরাপত্তা দলকে পঙ্গু করে দেয়। কোন CISO লুকানো নিরাপত্তা বিস্ময় লুকিয়ে রাখতে চায় না।
প্রতিটি CISO-এর আরও নিরাপদ বিল্ড সিস্টেমে ন্যূনতম বিনিয়োগ করা উচিত, সফ্টওয়্যার সাইনিং পদ্ধতিগুলি যাতে সফ্টওয়্যারকে পরিবেশে আনার আগে সফ্টওয়্যারটির উত্স স্থাপন করা হয় এবং সফ্টওয়্যার এবং অ্যাপ্লিকেশনগুলির ভিত্তিতে আক্রমণের পৃষ্ঠকে কমিয়ে দেয় এমন শক্ত, ন্যূনতম কন্টেইনার বেস ইমেজ। .
এই বিশাল সফ্টওয়্যার সরবরাহ শৃঙ্খল সুরক্ষা ঋণ পরিশোধের আরও গভীরে, CISOগুলি তাদের ডেভেলপারদের যাওয়ার সাথে সাথে কতটা অর্থ প্রদান করতে ইচ্ছুক তা নিয়ে একটি ধাঁধাঁর সম্মুখীন হয় (নিরন্তর বেস ইমেজ এবং দুর্বলতা সহ সফ্টওয়্যার আপডেট করে) বনাম সেই ঋণ স্থগিত করা এবং একটি গ্রহণযোগ্য স্তর অর্জন করা। দুর্বলতা
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : আছে
- : হয়
- :না
- $ ইউপি
- 1
- 7
- a
- সম্পর্কে
- গ্রহণযোগ্য
- প্রবেশ
- পুঞ্জীভূত
- আহরণ
- অর্জনের
- অর্জন
- অর্জন
- অভিনেতা
- সব
- উপশম করা
- এছাড়াও
- সর্বদা
- an
- এবং
- যে কেউ
- আবেদন
- অ্যাপ্লিকেশন
- রয়েছি
- AS
- At
- আক্রমণ
- এড়াতে
- দূরে
- ভারসাম্য
- হিসাবনিকাশপত্র
- ভিত্তি
- মূলত
- BE
- কারণ
- হয়েছে
- আগে
- সর্বোত্তম
- সেরা অভ্যাস
- মধ্যে
- বিশাল
- নোট
- Boring
- উভয়
- বিরতি
- আনা
- আনয়ন
- নির্মাণ করা
- ভবন
- নির্মিত
- ব্যস্ত
- কিন্তু
- by
- CAN
- পুঁজি
- চেন
- পরিবর্তন
- পরিবর্তন
- CISO
- শ্রেণী
- সমন্বিত
- সহযোগিতা
- সাধারণ
- কোম্পানি
- কোম্পানি
- কম্পিউটার
- বিবেচিত
- আধার
- অবিরাম
- প্রহেলিকা
- কভারেজ
- সৃষ্টি
- তৈরি করা হচ্ছে
- স্রষ্টাগণ
- সংকটপূর্ণ
- হেফাজত
- সাইবার নিরাপত্তা
- চক্র
- দৈনিক
- দিন
- ঋণ
- কয়েক দশক ধরে
- রায়
- গভীর
- গভীর
- ডিফল্ট
- মোতায়েন
- বিকাশকারী
- ডেভেলপারদের
- উন্নয়ন
- do
- doesn
- করছেন
- ডন
- নিচে
- ড্রাইভ
- কারণে
- ই-কমার্স
- খাওয়া
- ইকোসিস্টেম
- কার্যকরীভাবে
- প্রকৌশল
- প্রবেশ
- পরিবেশ
- পরিবেশের
- যুগ
- বিশেষত
- মূলত
- স্থাপন করা
- এমন কি
- প্রতি
- কীর্তিকলাপ
- রপ্তানি
- উদ্ভাসিত
- মুখ
- দ্রুত
- বৈশিষ্ট্য
- ফাইলিং
- প্রথম
- প্রথম পদক্ষেপ
- অনুসরণ করা
- অনুসরণ
- জন্য
- ভিত
- ফ্রেমওয়ার্ক
- অবকাঠামো
- ঘনঘন
- কার্যকারিতা
- মৌলিক
- লাভ করা
- ফাঁক
- পাওয়া
- Go
- ভাল
- কৌশল
- আছে
- মাথা
- সাহায্য
- গোপন
- গর্ত
- গর্ত
- ছুটির দিন
- কিভাবে
- HTTPS দ্বারা
- প্রচুর
- if
- ভাবমূর্তি
- চিত্র
- in
- ঘটনা
- ঘটনার প্রতিক্রিয়া
- অন্তর্ভুক্ত
- সুদ্ধ
- নিরাপত্তাহীন
- ভিতরে
- মধ্যে
- বিনিয়োগ
- IT
- এর
- কাজ
- মাত্র
- রাখা
- জানা
- ভাষাসমূহ
- পরে
- স্তর
- অন্তত
- উচ্চতা
- মাত্রা
- লেভারেজ
- মত
- সম্ভবত
- লাইন
- log4j
- দেখুন
- প্রণীত
- করা
- মেকিং
- ব্যবস্থাপনা
- পরিচালকের
- অনেক
- বৃহদায়তন
- উপকরণ
- পদ্ধতি
- মেটাডাটা
- পদ্ধতি
- পদ্ধতি
- যত্সামান্য
- সর্বনিম্ন
- মারার
- অধিক
- সেতু
- অনেক
- অবশ্যই
- প্রয়োজন
- নেটওয়ার্ক
- নেটওয়ার্ক নিরাপত্তা
- নতুন
- নতুন বৈশিষ্ট
- নতুন
- nst
- না।
- এখন
- of
- পুরাতন
- on
- একদা
- খোলা
- ওপেন সোর্স
- সুযোগ
- or
- সংগঠন
- সংগঠন
- অন্যান্য
- শেষ
- প্যাকেজ
- দেওয়া
- ব্যথা
- অংশ
- তালি
- প্যাচ
- প্যাচিং
- বেতন
- পরিশোধ
- পিডিএফ
- সম্প্রদায়
- কর্মক্ষমতা
- বাছাই
- পিভট
- জায়গা
- পরিকল্পনা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্লাগ
- বিন্দু
- নীতি
- সম্ভব
- চর্চা
- পছন্দ করা
- প্রকল্প ছাড়তে
- প্রসেস
- উত্পাদনের
- উত্পাদনক্ষম
- প্রোগ্রামিং
- প্রোগ্রামিং ভাষা
- প্রকল্প
- উত্পত্তি
- করা
- রাডার
- এলোমেলো
- RE
- সাধনা
- সাধা
- সত্যিই
- স্বীকৃতি
- হ্রাস করা
- রিলিজ
- বিশ্বাসযোগ্যতা
- পুনরাবৃত্তিযোগ্য
- প্রয়োজন
- প্রতিক্রিয়া
- অধিকার
- ঝুঁকি
- দৌড়
- s
- নিরাপদ
- নিরাপদ
- নিরাপত্তা
- নিরাপত্তা ঝুঁকি
- অনুভূতি
- ক্রম
- চাদর
- জাহাজ
- পরিবহন
- উচিত
- স্বাক্ষর
- স্বাক্ষর
- আয়তন
- ছোট
- So
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- কিছু
- কোনদিন
- উৎস
- স্থিতিশীল
- শুরু
- শুরু হচ্ছে
- অবস্থা
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- থামুন
- বন্ধ
- ধর্মঘট
- শক্তিশালী
- সুপার
- সরবরাহ
- সরবরাহ শৃঙ্খল
- নিশ্চিত
- পৃষ্ঠতল
- চমকের
- পদ্ধতি
- সিস্টেম
- লাগে
- কাজ
- দল
- কারিগরী
- প্রযুক্তি
- পরীক্ষা
- পরীক্ষামূলক
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- মনে
- এই
- সেগুলো
- দ্বারা
- সময়
- সময় অপগিত হয় এমন
- থেকে
- একসঙ্গে
- আস্থা
- সাধারণত
- অনন্য
- স্বতন্ত্র
- আপডেট
- আপডেট
- ব্যবহার
- ব্যবহৃত
- ব্যবহার
- Ve
- যাচাই
- সংস্করণ
- বনাম
- স্বেচ্ছায়
- দুর্বলতা
- দুর্বলতা
- জেয়
- চায়
- ছিল
- ছিল না
- উপায়..
- আমরা একটি
- কি
- যাই হোক
- কখন
- যে
- হু
- সমগ্র
- ইচ্ছুক
- সঙ্গে
- হয়া যাই ?
- কাজ
- লেখা
- বছর
- হাঁ
- আপনি
- আপনার
- zephyrnet