Alors que l'industrie de la cybersécurité approche de la saison des conférences, il est incroyable de voir des membres de la communauté désireux de partager leurs expériences. On pourrait dire que le processus d'appel à conférenciers offre un aperçu détaillé et large de ce qui préoccupe collectivement l'ensemble de l'écosystème de la cybersécurité. L'un des sujets de discussion les plus intrigants observés dans le "Rapport sur les tendances de l'appel à soumissions RSAC 2023» était dans et autour de l'open source, qui est devenu plus omniprésent et moins cloisonné qu'on ne l'avait observé auparavant. Les logiciels modernes ont changé, et avec eux viennent des promesses et des périls.
Quelqu'un écrit-il plus son propre logiciel ?
Sans surprise, les professionnels de la cybersécurité passent beaucoup de temps à parler de logiciels - comment ils sont assemblés, testés, déployés et corrigés. Les logiciels ont un impact significatif sur toutes les entreprises, quelle que soit leur taille ou leur secteur. JLes équipes et les pratiques ont évolué à mesure que l'échelle et la complexité ont augmenté. En conséquence, « les logiciels modernes sont plus assemblés qu'ils ne sont écrits », déclare Jennifer Czaplewski, directrice principale chez Target, où elle dirige DevSecOps et la sécurité des terminaux ; elle est également membre du comité du programme de la conférence RSA. Ce n'est pas simplement une opinion. Estimations de la quantité de logiciels dans l'industrie comprenant des composants open source - code qui est directement ciblé dans les attaques petites et grandes - allant de 70% à près de 100%, créant une énorme surface d'attaque changeante à protéger et un domaine d'intérêt critique pour la chaîne d'approvisionnement de chacun.
L'assemblage de code crée des dépendances généralisées - et des dépendances transitives - en tant qu'artefacts naturels. Ces dépendances sont bien plus profondes que le code réel, et les équipes qui l'intègrent doivent également mieux comprendre les processus utilisés pour l'exécuter, le tester et le maintenir.
Aujourd'hui, presque toutes les organisations dépendent inévitablement du code open source, ce qui a entraîné la demande de meilleures façons d'évaluer les risques, de cataloguer l'utilisation, de suivre l'impact et de prendre des décisions éclairées avant, pendant et après l'intégration de composants open source dans les piles logicielles.
Bâtir la confiance et les composantes du succès
L'open source n'est pas seulement une question de technologie. Ou un problème de processus. Ou un problème de personnes. Cela s'étend vraiment à tout, et les développeurs, les responsables de la sécurité de l'information (CISO) et les décideurs jouent tous un rôle. La transparence, la collaboration et la communication entre tous ces groupes sont essentielles pour établir une confiance critique.
Un point focal pour l'établissement de la confiance est la nomenclature logicielle (SBOM), qui a gagné en popularité après Décret exécutif du président Biden de mai 2021. Nous commençons à voir des observations tangibles des avantages quantifiables de sa mise en œuvre, y compris le contrôle et la visibilité des actifs, des temps de réponse plus rapides aux vulnérabilités et une meilleure gestion globale du cycle de vie des logiciels. La traction de SBOM semble avoir engendré des nomenclatures supplémentaires, parmi lesquelles DBOM (données), HBOM (matériel), PBOM (pipeline) et CBOM (cybersécurité). Le temps nous dira si les avantages l'emportent sur le devoir de diligence imposé aux développeurs, mais beaucoup espèrent que le mouvement BOM pourrait conduire à une manière uniforme de penser et d'aborder un problème.
Politiques et collaborations supplémentaires, y compris la loi sur la sécurisation des logiciels libres, Structure des niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA)et une Cadre de développement logiciel sécurisé (SSDF) du NIST, semblent encourager les pratiques qui ont rendu l'open source si omniprésent - la communauté collective travaillant ensemble dans le but d'assurer une chaîne d'approvisionnement logicielle sécurisée par défaut.
L'accent manifeste sur les « contre » autour du code open source et de sa manipulation, de ses attaques et de son ciblage a donné naissance à de nouveaux efforts pour atténuer les risques associés, à la fois avec les processus de développement et les rapports, ainsi qu'avec la technologie. Des investissements sont en cours pour éviter d'ingérer des composants malveillants en premier lieu. Cette introspection et ces apprentissages réels autour du développement logiciel, du cycle de vie du développement logiciel (SDLC) et de la chaîne d'approvisionnement dans son ensemble sont incroyablement bénéfiques pour la communauté à ce stade.
En fait, l'open source peut grandement bénéficier… de l'open source ! Les développeurs s'appuient sur des outils open source pour intégrer des contrôles de sécurité critiques dans le cadre de la intégration continue/livraison continue (CI/CD). Des efforts continus pour fournir des ressources, comme le Tableau de bord OpenSSF, avec sa promesse de notation automatisée, et la Cadre de la chaîne d'approvisionnement sécurisée (SSC) des logiciels open source (OSS), un cadre axé sur la consommation conçu pour protéger les développeurs contre les menaces réelles de la chaîne d'approvisionnement OSS, ne sont que deux exemples d'activités prometteuses qui aideront les équipes à assembler des logiciels.
Plus forts ensemble
L'open source a et continuera à changer le jeu logiciel. Cela a affecté la façon dont le monde construit des logiciels. Cela a permis d'accélérer la mise sur le marché. Elle a stimulé l'innovation et réduit les coûts de développement. On peut dire que cela a eu un impact positif sur la sécurité, mais il reste du travail à faire. Et pour construire un monde plus sûr, il faut qu'un village se rassemble pour partager des idées et des meilleures pratiques avec l'ensemble de la communauté.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- A Propos
- à travers
- d'activités
- Supplémentaire
- Après
- à opposer à
- Tous
- parmi
- ainsi que
- chacun.e
- approches
- approchant
- Réservé
- argumenter
- autour
- assemblé
- Outils
- associé
- attaquer
- Attaques
- Automatisation
- devenez
- before
- va
- avantageux
- profiter
- avantages.
- LES MEILLEURS
- les meilleures pratiques
- Améliorée
- biden
- Projet de loi
- vaste
- Développement
- construit
- la performance des entreprises
- Appelez-nous
- les soins
- catalogue
- chaîne
- chef
- code
- collaboration
- collaborations
- Collective
- Venir
- comité
- Communication
- Communautés
- complexité
- composants électriques
- Congrès
- Congrès
- Inconvénients
- continuer
- a continué
- des bactéries
- contrôles
- Costs
- pourriez
- crée des
- La création
- critique
- Cybersécurité
- cycle
- décisions
- profond
- profond
- page de livraison.
- Demande
- déployé
- un
- mobiles
- Développement
- directement
- Directeur
- spirituelle
- entraîné
- pendant
- risque numérique
- efforts
- encourager
- Endpoint
- Endpoint Security
- assurer
- Tout
- estimations
- Chaque
- tout le monde
- peut
- évolué
- exemples
- exécutif
- Expériences
- Prénom
- Focus
- Forbes
- Framework
- De
- donné
- objectif
- plus grand
- considérablement
- Groupes
- Matériel
- a aidé
- Comment
- HTTPS
- majeur
- et idées cadeaux
- Impact
- la mise en oeuvre
- in
- inclut
- Y compris
- incorporation
- increased
- l'incroyable
- incroyablement
- industrie
- d'information
- sécurité de l'information
- Actualités
- Innovation
- intégrer
- Investissements
- aide
- IT
- Jennifer
- ACTIVITES
- gros
- conduire
- Conduit
- niveaux
- VIE
- cycle de la vie
- Lot
- LES PLANTES
- maintenir
- a prendre une
- gestion
- Manipulation
- de nombreuses
- Marché
- matières premières.
- membre
- Membres
- seulement
- pourrait
- esprits
- Réduire les
- Villas Modernes
- PLUS
- (en fait, presque toutes)
- mouvement
- Nature
- presque
- Besoin
- Nouveauté
- nist
- Offres Speciales
- les officiers
- ONE
- ouvert
- open source
- Opinion
- organisation
- Oss
- global
- propre
- partie
- Personnes
- pipeline
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- Point
- politiques
- créateurs de politiques
- popularité
- positif
- pratiques
- précédemment
- Problème
- processus
- les process
- ,une équipe de professionnels qualifiés
- Programme
- PROMETTONS
- prometteur
- protéger
- fournir
- mettre
- Nos tests de diagnostic produisent des résultats rapides et précis sans nécessiter d'équipement de laboratoire complexe et coûteux,
- RE
- monde réel
- Prix Réduit
- Indépendamment
- dépendance
- reste
- Rapports
- Resources
- réponse
- résultat
- Analyse
- Rôle
- rsa
- conférence rsa
- Courir
- dit
- Escaliers intérieurs
- marquant
- Saison
- secteur
- sécurisé
- sécurisation
- sécurité
- semble
- supérieur
- Partager
- DÉPLACEMENT
- significative
- Taille
- petit
- Instantané
- So
- Logiciels
- développement de logiciels
- Identifier
- code source
- vitesse
- passer
- Combos
- Étape
- Commencez
- Soumission
- tel
- la quantité
- chaîne d'approvisionnement
- Support
- Surface
- prend
- parlant
- Target
- des campagnes marketing ciblées,
- ciblage
- équipes
- Technologie
- tester
- La
- le monde
- leur
- En pensant
- cette année
- des menaces
- fiable
- fois
- à
- aujourd'hui
- ensemble
- les outils
- Les sujets
- suivre
- traction
- Transparence
- Trends
- La confiance
- omniprésent
- comprendre
- utilisé
- Village
- définition
- vulnérabilités
- façons
- Quoi
- que
- qui
- la totalité
- répandu
- sera
- activités principales
- de travail
- world
- écrire
- code écrit
- an
- zéphyrnet
