Kaasaegne tarkvara: mis seal tegelikult on?

Kuna küberturvalisuse tööstus läheneb konverentsihooajale, on uskumatu näha kogukonna liikmeid, kes soovivad oma kogemusi jagada. Võib väita, et kõnelejate kutsumise protsess pakub sügavat ja laiaulatuslikku ülevaadet sellest, mis kogu küberjulgeoleku ökosüsteemi kollektiivselt meeles on. Üks intrigeerivamaid aruteluteemasid, mida selle aasta “RSAC 2023 konkursikutse suundumuste aruanne” oli avatud lähtekoodiga ja selle ümbruses, mis on muutunud üldlevinud ja vähem vaibunud kui varem. Kaasaegne tarkvara on muutunud ning sellega kaasnevad lubadused ja ohud.

Kas keegi kirjutab enam oma tarkvara?

Pole üllatav, et küberturvalisuse spetsialistid veedavad palju aega tarkvarast rääkides – kuidas seda kokku pannakse, testitakse, juurutatakse ja parandatakse. Tarkvaral on oluline mõju igale ettevõttele, olenemata suurusest või sektorist. Tmeetmed ja tavad on arenenud, kui mastaap ja keerukus on kasvanud. Selle tulemusel "moodsat tarkvara komplekteeritakse rohkem, kui seda kirjutatakse," ütleb Jennifer Czaplewski, Targeti vanemdirektor, kus ta juhib DevSecOpsi ja lõpp-punktide turvalisust. ta on ka RSA konverentsi programmikomitee liige. See pole lihtsalt arvamus. Hinnangud selle kohta, kui palju tarkvara kogu tööstuses sisaldab avatud lähtekoodiga komponente - koodi, mis on otseselt suunatud väikestele ja suurtele rünnakutele. vahemikus 70% kuni peaaegu 100%, luues tohutu, muutuva ründepinna, mida kaitsta, ja kriitilise fookuspiirkonna kõigi tarneahela jaoks.

Koodi kokkupanek loob looduslike esemetena laialt levinud sõltuvusi ja transitiivseid sõltuvusi. Need sõltuvused on tegelikust koodist palju sügavamad ja seda kasutavad meeskonnad peavad paremini mõistma selle käitamiseks, testimiseks ja hooldamiseks kasutatavaid protsesse.

Peaaegu iga organisatsioon tugineb tänapäeval vältimatult avatud lähtekoodile, mis on tekitanud nõudluse paremate viiside järele riskide hindamiseks, kataloogi kasutamiseks, mõju jälgimiseks ja teadlike otsuste tegemiseks enne avatud lähtekoodiga komponentide lisamist tarkvaravirnadesse, selle ajal ja pärast seda.

Usalduse loomine ja edu komponendid

Avatud lähtekoodiga seotud probleem ei ole ainult tehnoloogia. Või protsessi probleem. Või inimeste probleem. See ulatub tõesti kõigele ja oma rolli mängivad arendajad, infoturbe juhid (CISO) ja poliitikakujundajad. Läbipaistvus, koostöö ja suhtlus kõigis nendes rühmades on kriitilise usalduse loomise võtmeks.

Usalduse loomise üks keskpunkt on tarkvara materjalide arv (SBOM), mis kasvas pärast seda populaarsemaks President Bideni 2021. aasta maikuu korraldus. Hakkame nägema käegakatsutavaid tähelepanekuid selle rakendamisest saadava mõõdetava kasu kohta, sealhulgas varade kontrolli ja nähtavuse, haavatavuste kiirema reageerimise ja üldiselt parema tarkvara elutsükli haldamise kohta. SBOM-i veojõud näib olevat tekitanud täiendavaid BOM-e, sealhulgas DBOM-i (andmed), HBOM (riistvara), PBOM (pipeline) ja CBOM (küberturvalisus). Aeg näitab, kas sellest saadav kasu kaalub üles arendajatele pandud raske hoolsuskohustuse, kuid paljud loodavad, et BOM-i liikumine võib viia probleemile ühtse mõtlemise ja sellele lähenemiseni.

Täiendavad eeskirjad ja koostöö, sealhulgas avatud lähtekoodiga tarkvara turvamise seadus, Tarkvaraartefaktide (SLSA) tarneahela tasemedja NISTi turvalise tarkvara arendamise raamistik (SSDF), näivad soodustavat tavasid, mis on muutnud avatud lähtekoodi nii üldlevinud – kollektiivne kogukond teeb koostööd eesmärgiga tagada vaikimisi turvaline tarkvara tarneahel.

Avatud keskendumine avatud lähtekoodi ja selle manipuleerimise, rünnakute ja selle sihtimise "miinustele" on sünnitanud uusi jõupingutusi seotud riskide maandamiseks nii arendusprotsesside ja aruannete kui ka tehnoloogiaga. Investeeringuid tehakse selleks, et vältida pahatahtlike komponentide allaneelamist. See tarkvaraarenduse, tarkvaraarenduse elutsükli (SDLC) ja tarneahela kui terviku teemaline sisekaemus ja tegelik õpe on kogukonnale praeguses etapis uskumatult kasulikud.

Tegelikult võib avatud lähtekoodiga palju kasu olla … avatud lähtekoodiga! Arendajad toetuvad avatud lähtekoodiga tööriistadele, et integreerida kriitilised turvakontrollid osana pidev integreerimine / pidev kohaletoimetamine (CI/CD) torujuhe. Jätkuvad jõupingutused ressursside, näiteks OpenSSF tulemuskaart, mille lubadus on automatiseeritud hindamine, ja Avatud lähtekoodiga tarkvara (OSS) turvalise tarneahela (SSC) raamistik, tarbimisele keskendunud raamistik, mille eesmärk on kaitsta arendajaid reaalse OSS-i tarneahela ohtude eest, on vaid kaks näidet paljulubavatest tegevustest, mis toetavad meeskondi tarkvara kokkupanemisel.

Koos tugevam

Avatud lähtekoodiga on ja jääb ka edaspidi muuta tarkvaramängu. See on mõjutanud maailma tarkvara loomise viisi. See on aidanud kiirendada turule jõudmist. See on stimuleerinud innovatsiooni ja vähendanud arenduskulusid. Väidetavalt on see turvalisusele positiivselt mõjunud, kuid tööd on veel teha. Ja turvalisema maailma loomine nõuab küla kokkutulekut, et jagada ideid ja parimaid tavasid suurema kogukonnaga.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-