Während sich die Cybersicherheitsbranche der Konferenzsaison nähert, ist es unglaublich, Mitglieder der Community zu sehen, die begierig darauf sind, ihre Erfahrungen auszutauschen. Man könnte argumentieren, dass der Call-for-Speaker-Prozess eine tiefe und umfassende Momentaufnahme dessen bietet, was die kollektiven Köpfe des gesamten Cybersicherheits-Ökosystems beschäftigt. Eines der faszinierendsten Diskussionsthemen der diesjährigen „RSAC 2023 Call for Submissions Trendbericht“ war in und um Open Source, das allgegenwärtiger und weniger isoliert geworden ist als zuvor beobachtet. Moderne Software hat sich verändert, und damit kommen Versprechungen und Gefahren.
Schreibt heute noch jemand seine eigene Software?
Es überrascht nicht, dass Cybersicherheitsexperten viel Zeit damit verbringen, über Software zu sprechen – wie sie zusammengestellt, getestet, bereitgestellt und gepatcht wird. Software hat einen erheblichen Einfluss auf jedes Unternehmen, unabhängig von Größe oder Branche. TTeams und Praktiken haben sich mit zunehmender Größe und Komplexität weiterentwickelt. Infolgedessen „wird moderne Software mehr zusammengestellt als geschrieben“, sagt Jennifer Czaplewski, Senior Director bei Target, wo sie DevSecOps und Endpoint Security leitet; Sie ist außerdem Mitglied des Programmausschusses der RSA-Konferenz. Das ist nicht nur eine Meinung. Schätzungen darüber, wie viel Software in der gesamten Branche Open-Source-Komponenten enthält – Code, der direkt von kleinen und großen Angriffen angegriffen wird – reichen von 70 % bis fast 100 %, wodurch eine riesige, sich verändernde Angriffsfläche geschaffen wird, die es zu schützen gilt, und ein kritischer Fokusbereich für die gesamte Lieferkette.
Die Zusammenstellung von Code erzeugt weit verbreitete Abhängigkeiten – und transitive Abhängigkeiten – als natürliche Artefakte. Diese Abhängigkeiten sind viel tiefer als der eigentliche Code, und die Teams, die ihn integrieren, müssen auch die Prozesse besser verstehen, die zum Ausführen, Testen und Warten des Codes verwendet werden.
Nahezu jede Organisation ist heute unvermeidlich auf Open-Source-Code angewiesen, was die Nachfrage nach besseren Möglichkeiten zur Risikobewertung, Katalogisierung der Nutzung, Verfolgung der Auswirkungen und zum Treffen fundierter Entscheidungen vor, während und nach der Integration von Open-Source-Komponenten in Software-Stacks vorangetrieben hat.
Vertrauen aufbauen und Komponenten für den Erfolg
Open Source ist nicht nur ein Technologieproblem. Oder ein Prozessproblem. Oder ein Menschenproblem. Es erstreckt sich wirklich über alles, und Entwickler, Chief Information Security Officers (CISOs) und politische Entscheidungsträger spielen alle eine Rolle. Transparenz, Zusammenarbeit und Kommunikation zwischen all diesen Gruppen sind der Schlüssel zum Aufbau kritischen Vertrauens.
Ein Schwerpunkt für die Vertrauensbildung ist die Software-Stückliste (SBOM), die später immer beliebter wurde Präsidialerlass von Präsident Biden vom Mai 2021. Wir sehen allmählich greifbare Beobachtungen quantifizierbarer Vorteile aus der Implementierung, darunter Kontrolle und Sichtbarkeit von Assets, schnellere Reaktionszeiten auf Schwachstellen und insgesamt besseres Software-Lifecycle-Management. Die Traktion von SBOM scheint zusätzliche BOMs hervorgebracht zu haben, darunter DBOM (data), HBOM (Hardware), PBOM (Pipeline) und CBOM (Cybersicherheit). Die Zeit wird zeigen, ob die Vorteile die schwere Sorgfaltspflicht der Entwickler überwiegen, aber viele hoffen, dass die BOM-Bewegung zu einer einheitlichen Denkweise und Herangehensweise an ein Problem führen könnte.
Zusätzliche Richtlinien und Kooperationen, einschließlich das Gesetz zur Sicherung von Open-Source-Software, Supply Chain Levels for Software Artifacts (SLSA) Framework und NISTs Secure Software Development Framework (SSDF), scheinen die Praktiken zu fördern, die Open Source so allgegenwärtig gemacht haben – die kollektive Gemeinschaft, die mit dem Ziel zusammenarbeitet, eine standardmäßig sichere Softwarelieferkette zu gewährleisten.
Der offene Fokus auf die „Nachteile“ von Open-Source-Code und dessen Manipulation, Angriffe und gezielte Ausrichtung hat zu neuen Bemühungen geführt, die damit verbundenen Risiken sowohl mit Entwicklungsprozessen und Berichten als auch mit Technologie zu mindern. Es werden Investitionen getätigt, um zu verhindern, dass bösartige Komponenten von vornherein aufgenommen werden. Diese Selbstbeobachtung und Erkenntnisse aus dem wirklichen Leben rund um die Softwareentwicklung, den Softwareentwicklungslebenszyklus (SDLC) und die Lieferkette als Ganzes sind in dieser Phase für die Community von unglaublichem Nutzen.
Tatsächlich kann Open Source enorm davon profitieren … Open Source! Entwickler verlassen sich auf Open-Source-Tools, um kritische Sicherheitskontrollen als Teil des zu integrieren Continuous Integration/Continuous Delivery (CI/CD)-Pipeline. Fortgesetzte Bemühungen, Ressourcen bereitzustellen, wie z OpenSSF-Scorecard, mit seinem Versprechen der automatischen Bewertung, und die Open-Source-Software (OSS) Secure Supply Chain (SSC) Framework, ein verbrauchsorientiertes Framework, das entwickelt wurde, um Entwickler vor realen OSS-Lieferkettenbedrohungen zu schützen, sind nur zwei Beispiele für vielversprechende Aktivitäten, die Teams bei der Zusammenstellung von Software unterstützen werden.
Stärker zusammen
Open Source hat und wird es auch weiterhin tun Ändern Sie das Softwarespiel. Es hat die Art und Weise beeinflusst, wie die Welt Software erstellt. Es hat dazu beigetragen, die Markteinführungszeit zu verkürzen. Es hat die Innovation angeregt und die Entwicklungskosten gesenkt. Es hat sich wohl positiv auf die Sicherheit ausgewirkt, aber es bleibt noch viel zu tun. Und der Aufbau einer sichereren Welt erfordert, dass ein Dorf zusammenkommt, um Ideen und bewährte Verfahren mit der größeren Gemeinschaft auszutauschen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- LiveBuzz
- über
- Aktivitäten
- Zusätzliche
- Nach der
- gegen
- Alle
- unter
- und
- jemand
- Ansätze
- Annäherung
- Bereich
- argumentieren
- um
- montiert
- Details
- damit verbundenen
- Attacke
- Anschläge
- Automatisiert
- werden
- Bevor
- Sein
- vorteilhaft
- Nutzen
- Vorteile
- BESTE
- Best Practices
- Besser
- Biden
- Bill
- breit
- Building
- baut
- Geschäft
- rufen Sie uns an!
- österreichische Unternehmen
- Katalog
- Kette
- Chef
- Code
- Zusammenarbeit
- Kooperationen
- Collective
- Kommen
- Ausschuss
- Kommunikation
- community
- Komplexität
- Komponenten
- Konferenz
- Kongress
- Nachteile
- fortsetzen
- weiter
- Smartgeräte App
- Steuerung
- Kosten
- könnte
- schafft
- Erstellen
- kritischem
- Internet-Sicherheit
- Zyklus
- Entscheidungen
- tief
- tiefer
- Lieferanten
- Demand
- Einsatz
- entworfen
- Entwickler
- Entwicklung
- Direkt
- Direktor
- Diskussion
- angetrieben
- im
- Ökosystem
- Bemühungen
- ermutigen
- Endpunkt
- Endpoint-Sicherheit
- Gewährleistung
- Ganz
- Schätzungen
- Jedes
- jedermann
- alles
- entwickelt
- Beispiele
- Exekutive
- Erfahrungen
- Vorname
- Setzen Sie mit Achtsamkeit
- Forbes
- Unser Ansatz
- für
- gegeben
- Kundenziele
- mehr
- sehr
- Gruppen
- Hardware
- dazu beigetragen,
- Ultraschall
- HTTPS
- riesig
- Ideen
- Impact der HXNUMXO Observatorien
- Implementierung
- in
- Dazu gehören
- Einschließlich
- einarbeiten
- hat
- unglaublich
- unglaublich
- Energiegewinnung
- Information
- Informationssicherheit
- informiert
- Innovation
- integrieren
- Investments
- Problem
- IT
- Jennifer
- Wesentliche
- grosse
- führen
- umwandeln
- Cholesterinspiegel
- Lebensdauer
- Lebenszyklus
- Los
- gemacht
- halten
- um
- Management
- Manipulation
- viele
- Markt
- Materialien
- Mitglied
- Mitglieder
- nur
- könnte
- Köpfe
- Mildern
- modern
- mehr
- vor allem warme
- Bewegung
- Natürliche
- fast
- Need
- Neu
- nist
- Angebote
- Offiziere
- EINEM
- XNUMXh geöffnet
- Open-Source-
- Meinung
- Organisation
- Uns
- Gesamt-
- besitzen
- Teil
- Personen
- Pipeline
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- Points
- Politik durchzulesen
- Politiker
- Popularität
- positiv
- Praktiken
- vorher
- Aufgabenstellung:
- Prozessdefinierung
- anpassen
- Profis
- Programm
- Versprechen
- aussichtsreich
- Risiken zu minimieren
- die
- setzen
- schnell
- RE
- realen Welt
- Reduziert
- Ungeachtet
- Vertrauen
- bleibt bestehen
- Meldungen
- Downloads
- Antwort
- Folge
- Risiko
- Rollen
- rsa
- Konferenz
- Führen Sie
- sagt
- Skalieren
- Wertung
- Jahreszeit
- Bibliotheken
- Verbindung
- Sicherung
- Sicherheitdienst
- scheint
- Senior
- Teilen
- VERSCHIEBUNG
- signifikant
- Größe
- klein
- Schnappschuss
- So
- Software
- Software-Entwicklung
- Quelle
- Quellcode
- Geschwindigkeit
- verbringen
- Stacks
- Stufe
- Beginnen Sie
- Einsendungen
- so
- liefern
- Supply Chain
- Support
- Oberfläche
- nimmt
- sprechen
- Target
- gezielt
- Targeting
- Teams
- Technologie
- Test
- Das
- die Welt
- ihr
- Denken
- dieses Jahr
- Bedrohungen
- Zeit
- mal
- zu
- heute
- gemeinsam
- Werkzeuge
- Themen
- verfolgen sind
- Zugkraft
- Transparenz
- Trends
- Vertrauen
- allgegenwärtig
- verstehen
- -
- Village
- Sichtbarkeit
- Sicherheitslücken
- Wege
- Was
- ob
- welche
- ganze
- weit verbreitet
- werden wir
- Arbeiten
- arbeiten,
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- schreiben
- geschrieben
- Jahr
- Zephyrnet
