A medida que la industria de la ciberseguridad se acerca a la temporada de conferencias, es increíble ver a los miembros de la comunidad ansiosos por compartir sus experiencias. Se podría argumentar que el proceso de convocatoria de oradores ofrece una instantánea profunda y amplia de lo que está en la mente colectiva de todo el ecosistema de ciberseguridad. Uno de los temas de discusión más intrigantes observados en el “Informe de tendencias de la convocatoria RSAC 2023” estaba dentro y alrededor del código abierto, que se ha vuelto más ubicuo y menos aislado de lo que se observó anteriormente. El software moderno ha cambiado, y con él vienen las promesas y los peligros.
¿Alguien escribe su propio software más?
No es sorprendente que los profesionales de la ciberseguridad dediquen mucho tiempo a hablar sobre el software: cómo se ensambla, prueba, implementa y repara. El software tiene un impacto significativo en todas las empresas, independientemente de su tamaño o sector. TLos equipos y las prácticas han evolucionado a medida que han aumentado la escala y la complejidad. Como resultado, “el software moderno se ensambla más de lo que se escribe”, dice Jennifer Czaplewski, directora sénior de Target, donde dirige DevSecOps y seguridad de punto final; también es miembro del comité del programa de la Conferencia RSA. Eso no es meramente una opinión. Estimaciones de la cantidad de software en la industria que incluye componentes de código abierto (código que se dirige directamente a ataques pequeños y grandes) rango de 70% a casi 100%, creando una enorme superficie de ataque cambiante para proteger y un área crítica de enfoque para la cadena de suministro de todos.
El ensamblaje de código crea dependencias generalizadas, y dependencias transitivas, como artefactos naturales. Estas dependencias son mucho más profundas que el código real, y los equipos que lo incorporan también necesitan comprender mejor los procesos utilizados para ejecutarlo, probarlo y mantenerlo.
Casi todas las organizaciones hoy en día confían inevitablemente en el código fuente abierto, lo que ha impulsado la demanda de mejores formas de evaluar el riesgo, catalogar el uso, rastrear el impacto y tomar decisiones informadas antes, durante y después de incorporar componentes de código abierto en las pilas de software.
Construyendo Confianza y Componentes para el Éxito
El código abierto no es solo una cuestión de tecnología. O un problema de proceso. O un problema de personas. Realmente se extiende a todo, y los desarrolladores, los directores de seguridad de la información (CISO) y los legisladores juegan un papel. La transparencia, la colaboración y la comunicación entre todos estos grupos son clave para generar confianza crítica.
Un punto focal para la creación de confianza es la lista de materiales del software (SBOM), que creció en popularidad después de Orden ejecutiva del presidente Biden de mayo de 2021. Estamos empezando a ver observaciones tangibles de los beneficios cuantificables de su implementación, incluido el control y la visibilidad de los activos, tiempos de respuesta más rápidos a las vulnerabilidades y, en general, una mejor gestión del ciclo de vida del software. La tracción de SBOM parece haber generado BOM adicionales, entre ellos DBOM (data), HBOM (hardware), PBOM (oleoducto) y CBOM (ciberseguridad). El tiempo dirá si los beneficios superan el gran deber de cuidado que se impone a los desarrolladores, pero muchos tienen la esperanza de que el movimiento BOM podría conducir a una forma uniforme de pensar y abordar un problema.
Políticas y colaboraciones adicionales, incluyendo la Ley de Seguridad del Software de Código Abierto, Marco de niveles de la cadena de suministro para artefactos de software (SLSA)y Marco de desarrollo de software seguro (SSDF) de NIST, parecen alentar las prácticas que han hecho que el código abierto sea tan omnipresente: la comunidad colectiva que trabaja en conjunto con el objetivo de garantizar una cadena de suministro de software segura por defecto.
El enfoque abierto en los "contras" en torno al código fuente abierto y la manipulación, los ataques y la focalización de este ha dado lugar a nuevos esfuerzos para mitigar el riesgo asociado, tanto con los procesos de desarrollo y los informes, como con la tecnología. Se están realizando inversiones para evitar la ingesta de componentes maliciosos en primer lugar. Esta introspección y los aprendizajes de la vida real sobre el desarrollo de software, el ciclo de vida del desarrollo de software (SDLC) y la cadena de suministro en su conjunto son increíblemente beneficiosos para la comunidad en esta etapa.
De hecho, el código abierto puede beneficiar enormemente... ¡código abierto! Los desarrolladores confían en herramientas de código abierto para integrar controles de seguridad críticos como parte del integración continua/entrega continua (canalización de CI/CD). Esfuerzos continuos para proporcionar recursos, tales como la Cuadro de mando de OpenSSF, con su promesa de puntuación automatizada, y la Marco de cadena de suministro seguro (SSC) de software de código abierto (OSS), un marco centrado en el consumo diseñado para proteger a los desarrolladores contra las amenazas de la cadena de suministro de OSS del mundo real, son solo dos ejemplos de actividades prometedoras que ayudarán a los equipos a medida que ensamblan software.
Más fuertes juntos
El código abierto ha sido y seguirá siendo cambiar el juego de software. Ha afectado la forma en que el mundo construye software. Ha ayudado a acelerar el tiempo de comercialización. Ha estimulado la innovación y reducido los costes de desarrollo. Podría decirse que ha tenido un impacto positivo en la seguridad, pero aún queda trabajo por hacer. Y construir un mundo más seguro requiere que un pueblo se una para compartir ideas y mejores prácticas con la comunidad en general.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- Nuestra Empresa
- a través de
- actividades
- Adicionales
- Después
- en contra
- Todos
- entre
- y
- nadie
- enfoques
- que se acerca
- Reservada
- argumentar
- en torno a
- ensamblada
- Activos
- asociado
- atacar
- ataques
- Confirmación de Viaje
- a las que has recomendado
- antes
- "Ser"
- beneficioso
- es el beneficio
- beneficios
- MEJOR
- y las mejores prácticas
- mejores
- Biden
- Bill
- general
- Construir la
- construye
- llamar al
- servicios sociales
- catalogar
- cadena
- jefe
- código
- colaboración
- colaboraciones
- Colectivo
- viniendo
- comité
- Comunicación
- vibrante e inclusiva
- complejidad
- componentes
- Congreso
- Congreso
- Desventajas
- continue
- continuado
- control
- controles
- Precio
- podría
- crea
- Creamos
- crítico
- La Ciberseguridad
- Cycle
- decisiones
- profundo
- más profundo
- entrega
- Demanda
- desplegado
- diseñado
- desarrolladores
- Desarrollo
- directamente
- Director
- discusión
- impulsados
- durante
- ecosistema
- esfuerzos
- fomentar
- Punto final
- seguridad de punto final
- asegurando que
- Todo
- estima
- Cada
- todos
- todo
- evolucionado
- ejemplos
- ejecutivos
- Experiencias
- Nombre
- Focus
- Forbes
- Marco conceptual
- Desde
- dado
- objetivo
- mayor
- muy
- Grupo
- Materiales
- ayudado
- Cómo
- HTTPS
- enorme
- ideas
- Impacto
- implementación
- in
- incluye
- Incluye
- incorporando
- aumentado
- la increíble calidad de
- increíblemente
- energético
- información
- seguridad de la información
- informó
- Innovation
- integrar
- Inversiones
- IT
- Jennifer
- Clave
- large
- Lead
- Prospectos
- Vida
- ciclo vital
- Lote
- hecho
- mantener
- para lograr
- Management
- Manipulación
- muchos
- Mercado
- materiales
- miembro
- Miembros
- simplemente
- podría
- mente
- Mitigar las
- Moderno
- más,
- MEJOR DE TU
- movimiento
- Natural
- hace casi
- ¿ Necesita ayuda
- Nuevo
- nist
- Ofertas
- oficiales
- ONE
- habiertos
- de código abierto
- Opinión
- organización
- Oss
- total
- EL DESARROLLADOR
- parte
- Personas
- industrial
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- punto
- políticas
- los responsables políticos
- popularidad
- positivo
- prácticas
- previamente
- Problema
- en costes
- profesionales
- Programa
- PROMETEMOS
- prometedor
- proteger
- proporcionar
- poner
- rápido
- RE
- mundo real
- Reducción
- Independientemente
- dependencia
- permanece
- Informes
- Recursos
- respuesta
- resultado
- Riesgo
- Función
- rsa
- conferenciarsa
- Ejecutar
- dice
- Escala
- tanteo
- Temporada
- sector
- seguro
- asegurar
- EN LINEA
- parece
- mayor
- Compartir
- CAMBIANDO
- importante
- Tamaño
- chica
- Instantánea
- So
- Software
- Desarrollo de software ad-hoc
- Fuente
- código fuente
- velocidad
- pasar
- Stacks
- Etapa
- Comience a
- Envíos
- tal
- suministro
- cadena de suministro
- SOPORTE
- Superficie
- toma
- hablar
- Target
- afectados
- orientación
- equipos
- Tecnología
- test
- La
- el mundo
- su
- Ideas
- este año
- amenazas
- equipo
- veces
- a
- hoy
- juntos
- Temas
- seguir
- tracción
- Transparencia
- Tendencias
- Confía en
- ubicuo
- entender
- utilizan el
- Village
- la visibilidad
- Vulnerabilidades
- formas
- ¿
- sean
- que
- todo
- extendido
- seguirá
- Actividades:
- trabajando
- mundo
- escribir
- escrito
- año
- zephyrnet
