Moderni ohjelmisto: mitä todella sisällä on?

Kyberturvallisuusalan lähestyessä konferenssikautta on uskomatonta nähdä yhteisön jäsenet innokkaasti jakamaan kokemuksiaan. Voidaan väittää, että kaiuttimien kutsuprosessi tarjoaa syvän ja laajan kuvan siitä, mitä koko kyberturvaekosysteemin kollektiivisissa mielissä on. Yksi kiehtovimmista keskustelun aiheista tämän vuoden "RSAC 2023 Call for Submissions -trendiraportti” oli avoimessa lähdekoodissa ja sen ympäristössä, josta on tullut enemmän kaikkialla ja vähemmän hiljentynyt kuin aiemmin havaittiin. Nykyaikaiset ohjelmistot ovat muuttuneet, ja sen mukana tulee lupauksia ja vaaroja.

Kirjoittaako kukaan enää omia ohjelmistojaan?

Ei ole yllättävää, että kyberturvallisuusammattilaiset käyttävät paljon aikaa puhuessaan ohjelmistoista – kuinka se kootaan, testataan, otetaan käyttöön ja korjataan. Ohjelmistoilla on merkittävä vaikutus jokaiseen liiketoimintaan koosta tai toimialasta riippumatta. Teams ja käytännöt ovat kehittyneet laajuuden ja monimutkaisuuden kasvaessa. Tämän seurauksena "modernia ohjelmistoa kootaan enemmän kuin kirjoitetaan", sanoo Jennifer Czaplewski, Targetin vanhempi johtaja, jossa hän johtaa DevSecOpsia ja päätepisteiden turvallisuutta. hän on myös RSA-konferenssin ohjelmakomitean jäsen. Se ei ole vain mielipide. Arviot siitä, kuinka suuri osa ohjelmistoista alan eri puolilla sisältää avoimen lähdekoodin komponentteja – koodia, joka kohdistuu suoraan pieniin ja suuriin hyökkäyksiin – vaihtelevat 70 prosentista lähes 100 prosenttiin, joka luo valtavan, muuttuvan suojattavan hyökkäyspinnan ja kriittisen painopistealueen kaikkien toimitusketjussa.

Koodin kokoaminen luo laajalle levinneitä riippuvuuksia – ja transitiivisia riippuvuuksia – luonnollisina artefakteina. Nämä riippuvuudet ovat paljon syvempiä kuin varsinainen koodi, ja sitä käyttävien tiimien on myös ymmärrettävä paremmin sen suorittamiseen, testaamiseen ja ylläpitoon käytetyt prosessit.

Lähes jokaisessa organisaatiossa on nykyään väistämätön riippuvuus avoimesta lähdekoodista, mikä on lisännyt kysyntää paremmille tavoille arvioida riskejä, luetteloiden käyttöä, seurata vaikutuksia ja tehdä tietoisia päätöksiä ennen avoimen lähdekoodin komponenttien sisällyttämistä ohjelmistopinoihin, sen aikana ja sen jälkeen.

Luottamuksen rakentaminen ja menestyksen komponentit

Avoin lähdekoodi ei ole vain teknologiakysymys. Tai prosessiongelma. Tai sitten ihmiskysymys. Se todella ulottuu kaikkeen, ja kehittäjät, tietoturvapäälliköt (CISO) ja päättäjät ovat kaikki mukana. Avoimuus, yhteistyö ja viestintä kaikissa näissä ryhmissä ovat avainasemassa kriittisen luottamuksen rakentamisessa.

Yksi luottamuksen rakentamisen painopiste on ohjelmistojen materiaaliluettelo (SBOM), jonka suosio kasvoi sen jälkeen Presidentti Bidenin toukokuussa 2021 antama toimeenpanomääräys. Alamme nähdä konkreettisia havaintoja sen käyttöönoton määrällisesti mitattavissa olevista eduista, mukaan lukien omaisuuden hallinta ja näkyvyys, nopeammat vasteajat haavoittuvuuksiin ja kaiken kaikkiaan parempi ohjelmistojen elinkaaren hallinta. SBOM:n veto näyttää synnyttäneen lisää materiaaliluetteloita, mukaan lukien DBOM (data), HBOM (laitteisto), PBOM (pipeline) ja CBOM (kyberturvallisuus). Aika näyttää, painavatko hyödyt kehittäjille raskaan huolenpidon, mutta monet ovat toiveikkaita, että BOM-liike voisi johtaa yhtenäiseen tapaan ajatella ja lähestyä ongelmaa.

Lisäkäytännöt ja yhteistyöt, mukaan lukien Securing Open Source Software Act, Supply chain Levels for Software Artifacts (SLSA) -kehysja NISTin Secure Software Development Framework (SSDF), näyttävät rohkaisevan käytäntöjä, jotka ovat tehneet avoimesta lähdekoodista niin arjen – kollektiivinen yhteisö työskentelee yhdessä tavoitteenaan varmistaa oletusarvoisesti turvallinen ohjelmistojen toimitusketju.

Selvä keskittyminen avoimeen lähdekoodiin ja sen manipulointiin, hyökkäyksiin ja kohdistamiseen liittyviin "haittoihin" on synnyttänyt uusia ponnisteluja siihen liittyvien riskien vähentämiseksi sekä kehitysprosessien ja raporttien että teknologian avulla. Investointeja tehdään, jotta vältetään haitallisten komponenttien nieleminen. Tämä itsetutkiskelu ja tosielämän oppiminen ohjelmistokehityksestä, ohjelmistokehityksen elinkaaresta (SDLC) ja toimitusketjusta kokonaisuudessaan ovat uskomattoman hyödyllisiä yhteisölle tässä vaiheessa.

Itse asiassa avoimesta lähdekoodista voi olla paljon hyötyä … avoimesta lähdekoodista! Kehittäjät luottavat avoimen lähdekoodin työkaluihin integroidakseen kriittiset suojaustoiminnot osaksi jatkuva integrointi / jatkuva toimitus (CI/CD) putki. Jatkuvat pyrkimykset tarjota resursseja, kuten OpenSSF tuloskortti, joka lupaa automaattisen pisteytyksen, ja Avoimen lähdekoodin ohjelmisto (OSS) Secure Supply Chain (SSC) -kehys, kulutukseen keskittyvä kehys, joka on suunniteltu suojaamaan kehittäjiä todellisia OSS-toimitusketjun uhkia vastaan, ovat vain kaksi esimerkkiä lupaavista toimista, jotka tukevat tiimejä ohjelmistojen kokoamisessa.

Vahvempi yhdessä

Avoimella lähdekoodilla on ollut ja tulee jatkossakin vaihtaa ohjelmistopeliä. Se on vaikuttanut tapaan, jolla maailma rakentaa ohjelmistoja. Se on nopeuttanut markkinoilletuloa. Se on edistänyt innovaatioita ja vähentänyt kehityskustannuksia. Sillä on luultavasti ollut myönteinen vaikutus turvallisuuteen, mutta työtä on vielä tehtävä. Turvallisemman maailman rakentaminen edellyttää, että kylä kokoontuu jakamaan ideoita ja parhaita käytäntöjä suuremman yhteisön kanssa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-