Når cybersikkerhedsindustrien nærmer sig konferencesæsonen, er det utroligt at se medlemmer af fællesskabet, der er ivrige efter at dele deres erfaringer. Man kan hævde, at processen med opkald til højttalere tilbyder et dybt og bredt øjebliksbillede af, hvad der er på det kollektive sind af hele cybersikkerhedsøkosystemet. Et af de mest spændende diskussionsemner observeret i dette års "RSAC 2023 Call for Submissions Trends Report” var i og omkring open source, som er blevet mere allestedsnærværende og mindre siled end tidligere observeret. Moderne software har ændret sig, og med det følger løfter og farer.
Er der nogen, der skriver deres egen software længere?
Ikke overraskende bruger cybersikkerhedsprofessionelle meget tid på at tale om software – hvordan det samles, testes, implementeres og lappes. Software har en betydelig indflydelse på enhver virksomhed, uanset størrelse eller sektor. Teams og praksis har udviklet sig i takt med at omfanget og kompleksiteten er steget. Som et resultat, "samles moderne software mere, end det bliver skrevet," siger Jennifer Czaplewski, seniordirektør hos Target, hvor hun leder DevSecOps og slutpunktssikkerhed; hun er også medlem af RSA-konferencens programudvalg. Det er ikke kun en mening. Estimater af, hvor meget software på tværs af industrien, der inkluderer open source-komponenter - kode, der er direkte målrettet i små og store angreb - spænder fra 70 % til næsten 100 %, der skaber en enorm, skiftende angrebsflade til beskyttelse og et kritisk fokusområde for alles forsyningskæde.
Samling af kode skaber udbredte afhængigheder - og transitive afhængigheder - som naturlige artefakter. Disse afhængigheder er langt dybere end den faktiske kode, og de teams, der inkorporerer den, skal også bedre forstå de processer, der bruges til at køre, teste og vedligeholde den.
Næsten enhver organisation i dag har en uundgåelig afhængighed af open source-kode, hvilket har drevet efterspørgslen efter bedre måder at vurdere risiko, katalogbrug, spore påvirkning og træffe informerede beslutninger før, under og efter inkorporering af open source-komponenter i softwarestakke.
Opbygning af tillid og komponenter til succes
Open source er ikke kun et teknologiproblem. Eller et procesproblem. Eller et spørgsmål om mennesker. Det strækker sig virkelig over alt, og udviklere, informationssikkerhedschefer (CISO'er) og politiske beslutningstagere spiller alle en rolle. Gennemsigtighed, samarbejde og kommunikation på tværs af alle disse grupper er nøglen til at opbygge kritisk tillid.
Et omdrejningspunkt for opbygning af tillid er softwarestyklisten (SBOM), som voksede i popularitet efter Præsident Bidens bekendtgørelse fra maj 2021. Vi er begyndt at se håndgribelige observationer af kvantificerbare fordele ved implementeringen, herunder kontrol og synlighed af aktiver, hurtigere responstider på sårbarheder og generelt bedre softwarelivscyklusstyring. SBOMs trækkraft ser ud til at have affødt yderligere styklister, blandt dem DBOM (data), HBOM (hardware), PBOM (pipeline) og CBOM (cybersikkerhed). Tiden vil vise, om fordelene opvejer den tunge omsorgspligt, der pålægges udviklere, men mange håber på, at BOM-bevægelsen kan føre til en ensartet måde at tænke på og gribe et problem an på.
Yderligere politikker og samarbejder, herunder loven om sikring af open source-software, Supply chain Levels for Software Artifacts (SLSA) frameworkog NIST's Secure Software Development Framework (SSDF), synes at opmuntre til den praksis, der har gjort open source så allestedsnærværende - det kollektive samfund arbejder sammen med et mål om at sikre en sikker-ved-standard softwareforsyningskæde.
Det åbenlyse fokus på "ulemper" omkring åben kildekode og manipulation, angreb og målretning af den har affødt nye bestræbelser på at mindske tilknyttede risici, både med udviklingsprocesser og rapporter såvel som teknologi. Der investeres i at undgå indtagelse af ondsindede komponenter i første omgang. Denne introspektion og læring fra det virkelige liv omkring softwareudvikling, softwareudviklings livscyklus (SDLC) og forsyningskæden som helhed er utroligt gavnlige for samfundet på dette stadium.
Faktisk kan open source i høj grad gavne ... open source! Udviklere er afhængige af open source-værktøjer til at integrere kritiske sikkerhedskontroller som en del af kontinuerlig integration/kontinuerlig levering (CI/CD) pipeline. Fortsat indsats for at tilvejebringe ressourcer, såsom OpenSSF scorekort, med dets løfte om automatiseret scoring, og Open Source Software (OSS) Secure Supply Chain (SSC) Framework, en forbrugsfokuseret ramme designet til at beskytte udviklere mod den virkelige OSS-forsyningskædetrusler, er blot to eksempler på lovende aktiviteter, der vil støtte teams, når de samler software.
Stærkere sammen
Open source har og vil fortsætte med ændre softwarespillet. Det har påvirket den måde, verden bygger software på. Det har hjulpet med at fremskynde tiden til markedet. Det har stimuleret innovation og reduceret udviklingsomkostninger. Det har formentlig haft en positiv indvirkning på sikkerheden, men der skal arbejdes endnu. Og at opbygge en mere sikker verden kræver, at en landsby samles for at dele ideer og bedste praksis med det større fællesskab.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- Om
- tværs
- aktiviteter
- Yderligere
- Efter
- mod
- Alle
- blandt
- ,
- nogen
- tilgange
- nærmer sig
- OMRÅDE
- argumentere
- omkring
- samlet
- Aktiver
- forbundet
- angribe
- Angreb
- Automatiseret
- bliver
- før
- være
- gavnlig
- gavner det dig
- fordele
- BEDSTE
- bedste praksis
- Bedre
- Biden
- Bill
- bred
- Bygning
- bygger
- virksomhed
- ringe
- hvilken
- katalog
- kæde
- chef
- kode
- samarbejde
- samarbejder
- kollektive
- kommer
- udvalg
- Kommunikation
- samfund
- kompleksitet
- komponenter
- Konference
- Kongressen
- ULEMPER
- fortsæt
- fortsatte
- kontrol
- kontrol
- Omkostninger
- kunne
- skaber
- Oprettelse af
- kritisk
- Cybersecurity
- cyklus
- afgørelser
- dyb
- dybere
- levering
- Efterspørgsel
- indsat
- konstrueret
- udviklere
- Udvikling
- direkte
- Direktør
- diskussion
- drevet
- i løbet af
- økosystem
- indsats
- tilskynde
- Endpoint
- Endpoint sikkerhed
- sikring
- Hele
- skøn
- Hver
- alle
- at alt
- udviklet sig
- eksempler
- udøvende
- Oplevelser
- Fornavn
- Fokus
- Forbes
- Framework
- fra
- given
- mål
- større
- stærkt
- Gruppens
- Hardware
- hjulpet
- Hvordan
- HTTPS
- kæmpe
- ideer
- KIMOs Succeshistorier
- implementering
- in
- omfatter
- Herunder
- inkorporering
- øget
- utrolige
- utroligt
- industrien
- oplysninger
- informationssikkerhed
- informeret
- Innovation
- integrere
- Investeringer
- spørgsmål
- IT
- Jennifer
- Nøgle
- stor
- føre
- Leads
- niveauer
- Livet
- livscyklus
- Lot
- lavet
- vedligeholde
- lave
- ledelse
- Håndtering
- mange
- Marked
- materialer
- medlem
- Medlemmer
- blot
- måske
- sind
- afbøde
- Moderne
- mere
- mest
- bevægelse
- Natural
- næsten
- Behov
- Ny
- NIST
- Tilbud
- officerer
- ONE
- åbent
- open source
- Udtalelse
- organisation
- Os
- samlet
- egen
- del
- Mennesker
- pipeline
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- Punkt
- politikker
- politiske beslutningstagere
- popularitet
- positiv
- praksis
- tidligere
- Problem
- behandle
- Processer
- professionelle partnere
- Program
- løfte
- lovende
- beskytte
- give
- sætte
- hurtige
- RE
- virkelige verden
- Reduceret
- Uanset
- afhængighed
- resterne
- Rapporter
- Ressourcer
- svar
- resultere
- Risiko
- roller
- rsa
- rsakonference
- Kør
- siger
- Scale
- scoring
- Sæson
- sektor
- sikker
- fastgørelse
- sikkerhed
- synes
- senior
- Del
- SKIFT
- signifikant
- Størrelse
- lille
- Snapshot
- So
- Software
- softwareudvikling
- Kilde
- kildekode
- hastighed
- tilbringe
- Stakke
- Stage
- Starter
- Bidrag
- sådan
- forsyne
- forsyningskæde
- support
- overflade
- tager
- taler
- mål
- målrettet
- rettet mod
- hold
- Teknologier
- prøve
- verdenen
- deres
- Tænker
- i år
- trusler
- tid
- gange
- til
- i dag
- sammen
- værktøjer
- Emner
- spor
- trækkraft
- Gennemsigtighed
- Tendenser
- Stol
- allestedsnærværende
- forstå
- brug
- Village
- synlighed
- Sårbarheder
- måder
- Hvad
- hvorvidt
- som
- Hele
- udbredt
- vilje
- Arbejde
- arbejder
- world
- skriver
- skriftlig
- år
- zephyrnet
