همیشه بین ارسال ویژگیها و قابلیتهای جدید در مقابل پرداخت بدهیهای فنی، که شامل مواردی مانند قابلیت اطمینان، عملکرد، آزمایش … و بله، امنیت میشود، در فناوری اطلاعات معاوضهای وجود داشته است.
در این عصر "به سرعت ارسال کنید و چیزها را خراب کنید"، انباشت بدهی امنیتی تصمیمی است که سازمان ها به طور داوطلبانه می گیرند. هر سازمانی وظایف امنیتی را برای «روزی» در بکلوگهای Jira خود دارد - مواردی مانند استقرار وصلههای امنیتی و اجرای جدیدترین و پایدارترین نسخههای زبانهای برنامهنویسی و چارچوبها. انجام کار درست زمان می برد و تیم ها به طور عمدی این وظایف را به تعویق می اندازند زیرا ویژگی های جدید را در اولویت قرار می دهند. بخش بزرگی از کار CISO شناسایی لحظاتی است که بدهی های امنیتی باید پرداخت شود.
چیزی که باعث شد بهره برداری Log4j برای CISO ها بسیار نگران کننده بود که متوجه شدند این بدهی عظیم انباشته شده وجود دارد که حتی در رادار آنها نبود. این یک طبقه پنهان از شکاف های امنیتی بین پروژه های منبع باز و اکوسیستم سازندگان، نگهدارنده ها، مدیران بسته ها و سازمان هایی که از آنها استفاده می کنند را آشکار کرد.
امنیت زنجیره تامین نرم افزار یک آیتم خطی منحصر به فرد در ترازنامه بدهی امنیتی است، اما CISO ها می توانند یک برنامه منسجم برای پرداخت آن تنظیم کنند.
یک کلاس جدید از آسیب پذیری
اکثر شرکت ها در قفل کردن امنیت شبکه خود بسیار خوب عمل کرده اند. اما یک دسته کامل از اکسپلویت ها امکان پذیر است زیرا سیستم های ساخت توسعه دهندگان و مصنوعات نرم افزاری که برای نوشتن برنامه ها استفاده می کنند مکانیسم اعتماد یا زنجیره ایمن نگهداری ندارند.
امروزه، هر کسی که عقل سلیم دارد، میداند که به دلیل خطرات امنیتی، یک درایو تصادفی را انتخاب نکند و آن را به رایانه خود وصل نکند. اما برای چندین دهه، توسعه دهندگان دانلود می کنند بسته های منبع باز بدون هیچ راهی برای تأیید اینکه آنها ایمن هستند.
بازیگران بد از این بردار حمله استفاده می کنند زیرا این میوه کم آویزان جدید است. آنها متوجه میشوند که میتوانند از طریق این سوراخها دسترسی پیدا کنند و به محض ورود، به تمام سیستمهای دیگری که به هر مصنوع ناامنی که برای ورود به آن استفاده کردهاند وابستگی دارند، حرکت کنند.
با قفل کردن سیستم های ساخت، حفاری را متوقف کنید
نقطه شروع اساسی برای CISO ها که در موادی مانند راهنمای توسعه دهنده تایید شده است.ایمن سازی زنجیره تامین نرم افزار، شروع به استفاده از چارچوب های منبع باز مانند چارچوب توسعه نرم افزار ایمن NIST (SSDF) و OpenSSF است. سطوح زنجیره تامین برای مصنوعات نرم افزاری (SLSA). اینها اساساً مراحل تجویزی برای قفل کردن زنجیره تامین شما هستند. SLSA سطح 1 استفاده از یک سیستم ساخت است. سطح 2 صادر کردن برخی گزارشها و ابردادهها است (بنابراین میتوانید بعداً موارد را جستجو کنید و پاسخ حادثه را انجام دهید). سطح 3 دنبال کردن یک سری از بهترین شیوه ها است. سطح 4 استفاده از یک سیستم ساخت واقعا امن است. با پیروی از این مراحل اولیه، CISO ها می توانند پایه ای قوی برای ساختن یک زنجیره تامین نرم افزار ایجاد کنند که به طور پیش فرض ایمن باشد.
وقتی CISOها به سیاستهایی درباره چگونگی دستیابی تیمهای توسعهدهنده به نرمافزار متنباز در وهله اول فکر میکنند، همه چیز ظریفتر میشود. توسعهدهندگان چگونه میدانند که خطمشیهای شرکتشان برای آنچه «امن» در نظر گرفته میشود چیست؟ و چگونه می دانند که منبع باز که در حال به دست آوردن آن هستند (که شامل اکثریت بزرگ از همه نرم افزارهایی که امروزه توسعه دهندگان استفاده می کنند) آیا واقعاً دستکاری نشده است؟
با قفل کردن سیستمهای ساخت و ایجاد یک روش تکرارپذیر برای تأیید منشأ مصنوعات نرمافزاری قبل از وارد کردن آنها به محیط، CISO میتواند به طور مؤثر حفر سوراخ عمیقتری برای سازمان خود در بدهیهای امنیتی متوقف کند.
در مورد پرداخت بدهی امنیتی زنجیره تامین نرم افزار قدیمی چیست؟
پس از اینکه حفاری را با قفل کردن تصاویر پایه و محیط های ساخت خود متوقف کردید، اکنون باید نرم افزار خود را به روز کنید و آسیب پذیری های خود را اصلاح کنید، از جمله نسخه های تصویر پایه.
به روز رسانی نرم افزار و وصله CVE ها بسیار خسته کننده است. خسته کننده است، وقت گیر است، کار سختی است - کار است. این "سبزیجات خود را بخور" امنیت سایبری است. پرداخت این بدهی مستلزم همکاری عمیق بین CISO و تیم های توسعه است. همچنین فرصتی برای هر دو تیم است تا در مورد ابزارها و فرآیندهای ایمن تر، سازنده تر که می تواند به ایمن کردن زنجیره تامین نرم افزار سازمان به طور پیش فرض کمک کند، توافق کنند.
درست مانند برخی از افراد که تغییر را دوست ندارند، برخی از تیم های نرم افزاری نیز دوست ندارند تصاویر پایه کانتینر خود را به روز کنند. تصویر پایه اولین لایه از برنامه های نرم افزاری مبتنی بر کانتینر است. بهروزرسانی تصویر پایه به نسخه جدید گاهی اوقات میتواند برنامه نرمافزاری را خراب کند، بهخصوص اگر پوشش آزمایشی کافی نباشد. بنابراین، برخی از تیمهای نرمافزاری وضعیت موجود را ترجیح میدهند، و اساساً بهطور نامحدود روی یک نسخه تصویر پایه کار میکنند که احتمالاً روزانه CVEها را جمعآوری میکند.
برای جلوگیری از انباشت آسیبپذیریها، تیمهای نرمافزاری باید بهطور مکرر تصاویر را با تغییرات کوچک بهروزرسانی کنند و از روشهای «تست در تولید» مانند انتشار قناری استفاده کنند. استفاده از تصاویر کانتینری که سخت شده، دارای حداقل اندازه هستند و با ابرداده های امنیتی زنجیره تامین نرم افزار حیاتی ساخته شده اند، مانند صورتحساب های نرم افزاری مواد (SBOM)منشأ، و امضاها، میتوانند به کاهش درد زمانبر مدیریت آسیبپذیری روزانه در تصاویر پایه کمک کنند. این تکنیکها تعادل مناسبی بین حفظ امنیت و اطمینان از کاهش تولید ایجاد میکنند.
شروع به پرداخت به عنوان شما
چیزی که در مورد بدهی امنیتی منحصر به فرد ناخوشایند است این است که وقتی شما فقط آن را برای "روزی" بایگانی می کنید، معمولاً زمانی که شما آسیب پذیرترین هستید و کمترین توان پرداخت آن را دارید سر خود را بالا می برد. آسیبپذیری Log4j درست قبل از چرخه شلوغ تجارت الکترونیک تعطیلات رخ داد و بسیاری از تیمهای مهندسی و امنیتی را در سال بعد فلج کرد. هیچ CISO نمی خواهد غافلگیری های امنیتی پنهان در کمین باشد.
هر CISO باید حداقل سرمایهگذاری را روی سیستمهای ساخت امنتر، روشهای امضای نرمافزار برای تعیین منشأ نرمافزار قبل از ورود توسعهدهندگان به محیط، و تصاویر سختشده و حداقلی از پایه کانتینر انجام دهد که سطح حمله را در پایه نرمافزار و برنامهها کاهش میدهد. .
در عمق این پرداخت بدهی امنیت زنجیره تامین نرمافزار عظیم، CISOها با معمایی مواجه میشوند که میخواهند توسعهدهندگان خود را با بهروزرسانی مستمر تصاویر پایه و نرمافزارهای دارای آسیبپذیری در مقابل به تعویق انداختن آن بدهی و دستیابی به سطح قابل قبولی بپردازند. آسیب پذیری
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- : دارد
- :است
- :نه
- $UP
- 1
- 7
- a
- درباره ما
- قابل قبول
- دسترسی
- جمع آوری شده
- تجمع
- دستیابی به
- به دست آوردن
- کسب
- بازیگران
- معرفی
- کم کردن
- همچنین
- همیشه
- an
- و
- هر کس
- کاربرد
- برنامه های کاربردی
- هستند
- AS
- At
- حمله
- اجتناب از
- دور
- برج میزان
- ترازنامه
- پایه
- اساسا
- BE
- زیرا
- بوده
- قبل از
- بهترین
- بهترین شیوه
- میان
- بزرگ
- اسکناس
- خسته کننده
- هر دو
- شکستن
- به ارمغان بیاورد
- آوردن
- ساختن
- بنا
- ساخته
- مشغول
- اما
- by
- CAN
- بزرگ کردن
- زنجیر
- تغییر دادن
- تبادل
- CISO
- کلاس
- منسجم
- همکاری
- مشترک
- شرکت
- شرکت
- کامپیوتر
- در نظر گرفته
- ظرف
- به طور مستمر
- معما
- پوشش
- ایجاد
- ایجاد
- سازندگان
- بحرانی
- بازداشت
- امنیت سایبری
- چرخه
- روزانه
- روز
- بدهی
- دهه
- تصمیم
- عمیق
- عمیق تر
- به طور پیش فرض
- استقرار
- توسعه دهنده
- توسعه دهندگان
- پروژه
- do
- ندارد
- عمل
- دان
- پایین
- راندن
- دو
- تجارت الکترونیک
- خوردن
- اکوسیستم
- به طور موثر
- مهندسی
- ورود
- محیط
- محیط
- عصر
- به خصوص
- اساسا
- ایجاد
- حتی
- هر
- سوء استفاده
- صادرات
- قرار گرفتن در معرض
- چهره
- FAST
- امکانات
- بایگانی
- نام خانوادگی
- مراحل اول
- به دنبال
- پیروی
- برای
- پایه
- چارچوب
- چارچوب
- غالبا
- قابلیت
- اساسی
- افزایش
- شکاف
- دریافت کنید
- Go
- خوب
- راهنمایی
- آیا
- سر
- کمک
- پنهان
- سوراخ
- سوراخ
- روز تعطیل
- چگونه
- HTTPS
- بزرگ
- if
- تصویر
- تصاویر
- in
- حادثه
- پاسخ حادثه
- شامل
- از جمله
- ناامن
- داخل
- به
- سرمایه گذاری
- IT
- ITS
- کار
- تنها
- نگاه داشتن
- دانستن
- زبان ها
- بعد
- لایه
- کمترین
- سطح
- سطح
- قدرت نفوذ
- پسندیدن
- احتمالا
- لاین
- log4j
- نگاه کنيد
- ساخته
- ساخت
- ساخت
- مدیریت
- مدیران
- بسیاری
- عظیم
- مصالح
- مکانیزم
- متاداده
- روش
- روش
- حداقل
- حد اقل
- لحظه
- بیش
- اکثر
- بسیار
- باید
- نیاز
- شبکه
- امنیت شبکه
- جدید
- ویژگی های جدید
- تازه ترین
- نیست
- نه
- اکنون
- of
- قدیمی
- on
- یک بار
- باز کن
- منبع باز
- فرصت
- or
- کدام سازمان ها
- سازمان های
- دیگر
- روی
- بسته
- پرداخت
- درد
- بخش
- وصله
- پچ های
- پچ کردن
- پرداخت
- پرداخت
- مردم
- کارایی
- انتخاب کنید
- محور
- محل
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- برق وصل کردن
- نقطه
- سیاست
- ممکن
- شیوه های
- ترجیح می دهند
- اولویت بندی
- فرآیندهای
- تولید
- تولیدی
- برنامه نويسي
- زبانهای برنامه نویسی
- پروژه ها
- منشاء
- قرار دادن
- رادار
- تصادفی
- RE
- تحقق
- تحقق بخشیدن
- واقعا
- شناختن
- كاهش دادن
- منتشر شده
- قابلیت اطمینان
- قابل تکرار
- نیاز
- پاسخ
- راست
- خطرات
- در حال اجرا
- s
- امن
- امن
- تیم امنیت لاتاری
- خطرات امنیتی
- حس
- سلسله
- ورق
- کشتی
- حمل
- باید
- امضا
- امضای
- اندازه
- کوچک
- So
- نرم افزار
- توسعه نرم افزار
- برخی از
- روزی
- منبع
- پایدار
- شروع
- راه افتادن
- وضعیت
- مراحل
- توقف
- متوقف شد
- ضربه
- قوی
- فوق العاده
- عرضه
- زنجیره تامین
- مطمئن
- سطح
- شگفتی
- سیستم
- سیستم های
- طول می کشد
- وظایف
- تیم ها
- فنی
- تکنیک
- آزمون
- تست
- که
- La
- شان
- آنها
- آنجا.
- اینها
- آنها
- چیز
- اشیاء
- فکر می کنم
- این
- کسانی که
- از طریق
- زمان
- زمان بر
- به
- با هم
- اعتماد
- به طور معمول
- منحصر به فرد
- منحصر به فرد
- بروزرسانی
- به روز رسانی
- استفاده کنید
- استفاده
- با استفاده از
- Ve
- بررسی
- نسخه
- در مقابل
- به طور داوطلبانه
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- می خواهد
- بود
- نبود
- مسیر..
- خوب
- چی
- هر چه
- چه زمانی
- که
- WHO
- تمام
- مایل
- با
- مهاجرت کاری
- کارگر
- نوشتن
- سال
- بله
- شما
- شما
- زفیرنت