Καθώς η βιομηχανία της κυβερνοασφάλειας πλησιάζει την εποχή των συνεδρίων, είναι απίστευτο να βλέπεις μέλη της κοινότητας να θέλουν να μοιραστούν τις εμπειρίες τους. Θα μπορούσε κανείς να υποστηρίξει ότι η διαδικασία πρόσκλησης για ομιλητές προσφέρει μια βαθιά και ευρεία εικόνα του τι υπάρχει στο συλλογικό μυαλό ολόκληρου του οικοσυστήματος κυβερνοασφάλειας. Ένα από τα πιο ενδιαφέροντα θέματα συζήτησης που παρατηρήθηκαν στη φετινή «Έκθεση τάσεων πρόσκλησης υποβολής RSAC 2023" ήταν μέσα και γύρω από το ανοιχτό κώδικα, το οποίο έχει γίνει πιο πανταχού παρόν και λιγότερο αποσιωπημένο από ό,τι είχε παρατηρηθεί προηγουμένως. Το σύγχρονο λογισμικό έχει αλλάξει, και μαζί του έρχεται υποσχέσεις και κινδύνους.
Γράφει κανείς πια το δικό του λογισμικό;
Δεν αποτελεί έκπληξη το γεγονός ότι οι επαγγελματίες της κυβερνοασφάλειας αφιερώνουν πολύ χρόνο μιλώντας για λογισμικό — πώς συναρμολογείται, δοκιμάζεται, αναπτύσσεται και διορθώνεται. Το λογισμικό έχει σημαντικό αντίκτυπο σε κάθε επιχείρηση, ανεξαρτήτως μεγέθους ή κλάδου. ΤΟι ομάδες και οι πρακτικές έχουν εξελιχθεί καθώς η κλίμακα και η πολυπλοκότητα έχουν αυξηθεί. Ως αποτέλεσμα, «Το σύγχρονο λογισμικό συναρμολογείται περισσότερο από ό,τι γράφεται», λέει η Jennifer Czaplewski, ανώτερη διευθύντρια στο Target, όπου ηγείται της DevSecOps και της ασφάλειας τελικών σημείων. είναι επίσης μέλος της επιτροπής προγράμματος του Συνεδρίου RSA. Αυτό δεν είναι απλώς μια άποψη. Εκτιμήσεις για το πόσο λογισμικό σε ολόκληρο τον κλάδο περιλαμβάνει στοιχεία ανοιχτού κώδικα — κώδικας που στοχεύει άμεσα σε επιθέσεις μικρών και μεγάλων — κυμαίνονται από 70% έως σχεδόν 100%, δημιουργώντας μια τεράστια, μεταβαλλόμενη επιφάνεια επίθεσης για προστασία και μια κρίσιμη περιοχή εστίασης για την εφοδιαστική αλυσίδα όλων.
Η συναρμολόγηση κώδικα δημιουργεί ευρέως διαδεδομένες εξαρτήσεις - και μεταβατικές εξαρτήσεις - ως φυσικά τεχνουργήματα. Αυτές οι εξαρτήσεις είναι πολύ βαθύτερες από τον πραγματικό κώδικα και οι ομάδες που τον ενσωματώνουν πρέπει επίσης να κατανοήσουν καλύτερα τις διαδικασίες που χρησιμοποιούνται για την εκτέλεση, τη δοκιμή και τη διατήρησή του.
Σχεδόν κάθε οργανισμός σήμερα έχει μια αναπόφευκτη εξάρτηση από τον ανοιχτό κώδικα, ο οποίος έχει οδηγήσει τη ζήτηση για καλύτερους τρόπους αξιολόγησης του κινδύνου, χρήσης καταλόγου, παρακολούθησης του αντίκτυπου και λήψης τεκμηριωμένων αποφάσεων πριν, κατά τη διάρκεια και μετά την ενσωμάτωση στοιχείων ανοιχτού κώδικα σε στοίβες λογισμικού.
Χτίζοντας εμπιστοσύνη και στοιχεία για την επιτυχία
Ο ανοιχτός κώδικας δεν είναι μόνο τεχνολογικό ζήτημα. Ή ένα θέμα διαδικασίας. Ή θέμα λαού. Πραγματικά εκτείνεται σε όλα και οι προγραμματιστές, οι υπεύθυνοι ασφάλειας πληροφοριών (CISO) και οι υπεύθυνοι χάραξης πολιτικής παίζουν ρόλο. Η διαφάνεια, η συνεργασία και η επικοινωνία σε όλες αυτές τις ομάδες είναι το κλειδί για την οικοδόμηση κριτικής εμπιστοσύνης.
Ένα κομβικό σημείο για την οικοδόμηση εμπιστοσύνης είναι ο λογαριασμός υλικών λογισμικού (SBOM), ο οποίος έγινε πιο δημοφιλής στη συνέχεια Εκτελεστικό διάταγμα του Προέδρου Μπάιντεν του Μαΐου 2021. Αρχίζουμε να βλέπουμε απτές παρατηρήσεις ποσοτικοποιήσιμων οφελών από την υλοποίησή του, συμπεριλαμβανομένου του ελέγχου και της ορατότητας των περιουσιακών στοιχείων, ταχύτερους χρόνους απόκρισης σε τρωτά σημεία και συνολικά καλύτερη διαχείριση του κύκλου ζωής του λογισμικού. Η έλξη του SBOM φαίνεται να έχει δημιουργήσει επιπλέον BOM, μεταξύ των οποίων και DBOM (δεδομένα), HBOM (hardware), PBOM (pipeline) και CBOM (cybersecurity). Ο χρόνος θα δείξει αν τα οφέλη υπερβαίνουν το βαρύ καθήκον φροντίδας που έχουν οι προγραμματιστές, αλλά πολλοί ελπίζουν ότι το κίνημα BOM θα μπορούσε να οδηγήσει σε έναν ομοιόμορφο τρόπο σκέψης και προσέγγισης ενός προβλήματος.
Πρόσθετες πολιτικές και συνεργασίες, συμπεριλαμβανομένων ο νόμος περί ασφάλειας λογισμικού ανοιχτού κώδικα, Πλαίσιο Επίπεδα αλυσίδας εφοδιασμού για τεχνουργήματα λογισμικού (SLSA)., να Πλαίσιο Ανάπτυξης Ασφαλούς Λογισμικού (SSDF) του NIST, φαίνεται να ενθαρρύνει τις πρακτικές που έχουν κάνει το ανοιχτό κώδικα τόσο πανταχού παρόν — η συλλογική κοινότητα συνεργάζεται με στόχο τη διασφάλιση μιας ασφαλούς από προεπιλογή αλυσίδας εφοδιασμού λογισμικού.
Η απροκάλυπτη εστίαση στα «μειονεκτήματα» γύρω από τον ανοιχτό κώδικα και τη χειραγώγηση, τις επιθέσεις και τη στόχευσή του έχει γεννήσει νέες προσπάθειες για τον μετριασμό του σχετικού κινδύνου, τόσο με διαδικασίες ανάπτυξης και αναφορές, όσο και με τεχνολογία. Γίνονται επενδύσεις για να αποφευχθεί η κατάποση κακόβουλων συστατικών εξαρχής. Αυτή η ενδοσκόπηση και η πραγματική μάθηση γύρω από την ανάπτυξη λογισμικού, τον κύκλο ζωής ανάπτυξης λογισμικού (SDLC) και την αλυσίδα εφοδιασμού στο σύνολό της είναι απίστευτα ωφέλιμα για την κοινότητα σε αυτό το στάδιο.
Στην πραγματικότητα, ο ανοιχτός κώδικας μπορεί να ωφεληθεί πολύ… ο ανοιχτός κώδικας! Οι προγραμματιστές βασίζονται σε εργαλεία ανοιχτού κώδικα για να ενσωματώσουν κρίσιμους ελέγχους ασφαλείας ως μέρος του συνεχής ενοποίηση/συνεχής παράδοση (αγωγός CI/CD). Συνεχείς προσπάθειες για την παροχή πόρων, όπως η Κάρτα βαθμολογίας OpenSSF, με την υπόσχεσή της για αυτοματοποιημένη βαθμολόγηση, και το Πλαίσιο Ασφαλούς Εφοδιαστικής Αλυσίδας (SSC) Λογισμικού ανοιχτού κώδικα (OSS)., ένα πλαίσιο που εστιάζει στην κατανάλωση και έχει σχεδιαστεί για να προστατεύει τους προγραμματιστές από τις πραγματικές απειλές της αλυσίδας εφοδιασμού OSS, είναι μόνο δύο παραδείγματα πολλά υποσχόμενων δραστηριοτήτων που θα υποστηρίξουν τις ομάδες καθώς συναρμολογούν λογισμικό.
Ισχυρότερα Μαζί
Ο ανοιχτός κώδικας έχει και θα συνεχίσει αλλάξτε το παιχνίδι λογισμικού. Έχει επηρεάσει τον τρόπο με τον οποίο ο κόσμος κατασκευάζει λογισμικό. Έχει βοηθήσει στην επιτάχυνση του χρόνου στην αγορά. Έχει τονώσει την καινοτομία και έχει μειώσει το κόστος ανάπτυξης. Αναμφισβήτητα, είχε θετικό αντίκτυπο στην ασφάλεια, αλλά μένει να γίνει δουλειά. Και η οικοδόμηση ενός πιο ασφαλούς κόσμου χρειάζεται ένα χωριό που συγκεντρώνεται για να μοιραστεί ιδέες και βέλτιστες πρακτικές με την ευρύτερη κοινότητα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- Σχετικα
- απέναντι
- δραστηριοτήτων
- Πρόσθετος
- Μετά το
- κατά
- Όλα
- μεταξύ των
- και
- κάποιος
- προσεγγίσεις
- προσεγγίζοντας
- ΠΕΡΙΟΧΗ
- Υποστηρίζουν
- γύρω
- συναρμολογούνται
- Ενεργητικό
- συσχετισμένη
- επίθεση
- Επιθέσεις
- Αυτοματοποιημένη
- γίνονται
- πριν
- είναι
- ευεργετική
- όφελος
- οφέλη
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Καλύτερα
- biden
- Νομοσχέδιο
- ευρύς
- Κτίριο
- Χτίζει
- επιχείρηση
- κλήση
- ο οποίος
- κατάλογος
- αλυσίδα
- αρχηγός
- κωδικός
- συνεργασία
- συνεργασίες
- Συλλογική
- ερχομός
- επιτροπή
- Επικοινωνία
- κοινότητα
- περίπλοκο
- εξαρτήματα
- Διάσκεψη
- Συνέδριο
- ΚΑΤΑ
- ΣΥΝΕΧΕΙΑ
- συνέχισε
- έλεγχος
- ελέγχους
- Δικαστικά έξοδα
- θα μπορούσε να
- δημιουργεί
- δημιουργία
- κρίσιμης
- Κυβερνασφάλεια
- κύκλος
- αποφάσεις
- βαθύς
- βαθύτερη
- διανομή
- Ζήτηση
- αναπτυχθεί
- σχεδιασμένα
- προγραμματιστές
- Ανάπτυξη
- κατευθείαν
- Διευθυντής
- συζήτηση
- οδηγείται
- κατά την διάρκεια
- οικοσύστημα
- προσπάθειες
- ενθαρρύνει
- Τελικό σημείο
- Ασφάλεια τελικού σημείου
- εξασφαλίζοντας
- Ολόκληρος
- εκτιμήσεις
- Κάθε
- όλοι
- πάντα
- εξελίχθηκε
- παραδείγματα
- εκτελεστικός
- Δραστηριοτητες
- Όνομα
- Συγκέντρωση
- Forbes
- Πλαίσιο
- από
- δεδομένου
- γκολ
- μεγαλύτερη
- σε μεγάλο βαθμό
- Ομάδα
- υλικού
- βοήθησε
- Πως
- HTTPS
- τεράστιος
- ιδεών
- Επίπτωση
- εκτέλεση
- in
- περιλαμβάνει
- Συμπεριλαμβανομένου
- ενσωματώνοντας
- αυξημένη
- απίστευτη
- απίστευτα
- βιομηχανία
- πληροφορίες
- την ασφάλεια των πληροφοριών
- ενημερώνεται
- Καινοτομία
- ενσωματώσει
- Επενδύσεις
- ζήτημα
- IT
- Τζένιφερ
- Κλειδί
- large
- οδηγήσει
- Οδηγεί
- επίπεδα
- ζωή
- κύκλος ζωής
- Παρτίδα
- που
- διατηρήσουν
- κάνω
- διαχείριση
- Χειρισμός
- πολοί
- αγορά
- υλικά
- μέλος
- Μέλη
- απλώς
- ενδέχεται να
- μυαλά
- Μετριάζω
- ΜΟΝΤΕΡΝΑ
- περισσότερο
- πλέον
- κίνηση
- Φυσικό
- σχεδόν
- Ανάγκη
- Νέα
- nist
- προσφορές
- αξιωματικών
- ONE
- ανοίξτε
- ανοικτού κώδικα
- Γνώμη
- επιχειρήσεις
- Μας
- φόρμες
- δική
- μέρος
- People
- αγωγού
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- Σημείο
- Πολιτικές
- φορείς χάραξης πολιτικής
- δημοτικότητα
- θετικός
- πρακτικές
- προηγουμένως
- Πρόβλημα
- διαδικασια μας
- Διεργασίες
- επαγγελματίες
- Πρόγραμμα
- υπόσχεση
- υποσχόμενος
- προστασία
- παρέχουν
- βάζω
- γρήγορα
- RE
- πραγματικό κόσμο
- Μειωμένος
- Ανεξάρτητα
- εξάρτηση
- λείψανα
- Εκθέσεις
- Υποστηρικτικό υλικό
- απάντησης
- αποτέλεσμα
- Κίνδυνος
- Ρόλος
- RSA
- rsaconference
- τρέξιμο
- λέει
- Κλίμακα
- βαθμολόγησης
- Εποχή
- τομέας
- προστατευμένο περιβάλλον
- ασφάλεια
- ασφάλεια
- φαίνεται
- αρχαιότερος
- Κοινοποίηση
- ΜΕΤΑΤΟΠΙΣΗ
- σημαντικός
- Μέγεθος
- small
- Στιγμιότυπο
- So
- λογισμικό
- ανάπτυξη λογισμικού
- Πηγή
- πρωτογενής κώδικας
- ταχύτητα
- δαπανήσει
- Στοίβες
- Στάδιο
- Ξεκινήστε
- Υποβολές
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- υποστήριξη
- Επιφάνεια
- παίρνει
- ομιλία
- στόχος
- στοχευμένες
- στόχευση
- ομάδες
- Τεχνολογία
- δοκιμή
- Η
- ο κόσμος
- τους
- Σκέψη
- φέτος
- απειλές
- ώρα
- φορές
- προς την
- σήμερα
- μαζι
- εργαλεία
- Θέματα
- τροχιά
- έλξη
- Διαφάνεια
- Τάσεις
- Εμπιστευθείτε
- πανταχού παρών
- καταλαβαίνω
- χρήση
- Χωριό
- ορατότητα
- Θέματα ευπάθειας
- τρόπους
- Τι
- αν
- Ποιό
- ολόκληρο
- διαδεδομένη
- θα
- Εργασία
- εργαζόμενος
- κόσμος
- γράφω
- γραπτή
- έτος
- zephyrnet
