Modern szoftver: mi van valójában?

Ahogy a kiberbiztonsági ágazat közeledik a konferenciaszezonhoz, hihetetlen látni a közösség tagjait, akik szívesen megosztják tapasztalataikat. Lehet vitatkozni, hogy a felszólalási folyamat mély és átfogó pillanatképet nyújt arról, hogy mi van a teljes kiberbiztonsági ökoszisztéma kollektív elméjében. Az egyik legérdekesebb vitatéma az idei „Az RSAC 2023 pályázati felhívásának trendjei” nyílt forráskódban és környékén volt, amely mindenütt elterjedtebbé és kevésbé szilárdabbá vált, mint korábban megfigyelték. A modern szoftverek megváltoztak, és ezzel együtt jár az ígéret és a veszély.

Írja már valaki a saját szoftverét?

Nem meglepő, hogy a kiberbiztonsági szakemberek sok időt töltenek azzal, hogy a szoftverekről beszéljenek – hogyan állítják össze, tesztelik, telepítik és javítják. A szoftver minden vállalkozásra jelentős hatással van, mérettől és ágazattól függetlenül. TAz eams és a gyakorlatok a méretek és az összetettség növekedésével fejlődtek. Ennek eredményeképpen „a modern szoftvereket többet állítanak össze, mint írnak” – mondja Jennifer Czaplewski, a Target vezető igazgatója, ahol ő vezeti a DevSecOps-t és a végpontok biztonságát; emellett az RSA Konferencia programbizottságának tagja. Ez nem pusztán vélemény. Becslések arra vonatkozóan, hogy az iparágban mennyi szoftver tartalmaz nyílt forráskódú összetevőket – olyan kódot, amely közvetlenül a kis és nagy támadások célpontja. 70%-tól közel 100%-ig terjed, amely egy hatalmas, változó támadási felületet hoz létre a védelme érdekében, és egy kritikus fókuszterületet mindenki ellátási láncában.

A kód összeállítása széles körben elterjedt – és tranzitív – függőségeket hoz létre, mint természetes műtermékeket. Ezek a függőségek sokkal mélyebbek, mint a tényleges kód, és az azt alkalmazó csapatoknak is jobban meg kell érteniük a futtatásához, teszteléséhez és karbantartásához használt folyamatokat.

Napjainkban szinte minden szervezet megkerülhetetlen a nyílt forráskódra támaszkodik, ami a kockázatértékelés, a katalógushasználat, a hatások nyomon követése és a megalapozott döntések jobb módjai iránti keresletet váltotta ki a nyílt forráskódú összetevők szoftververembe történő beépítése előtt, közben és után.

Bizalom kiépítése és a siker összetevői

A nyílt forráskód nem csak technológiai probléma. Vagy folyamatprobléma. Vagy népkérdés. Valójában mindenre kiterjed, és a fejlesztők, az információbiztonsági vezetők (CISO-k) és a politikai döntéshozók egyaránt szerepet játszanak. Az átláthatóság, az együttműködés és a kommunikáció ezen csoportok mindegyikében kulcsfontosságú a kritikus bizalom kialakításához.

A bizalomépítés egyik fókuszpontja a szoftverjegyzék (SBOM), amely ezt követően egyre népszerűbb lett Biden elnök 2021. májusi végrehajtási rendelete. Kézzelfogható megfigyeléseket kezdünk látni a megvalósításból származó számszerűsíthető előnyökről, ideértve az eszközök ellenőrzését és láthatóságát, a sebezhetőségekre adott gyorsabb válaszidőt és általában véve jobb szoftveréletciklus-kezelést. Úgy tűnik, hogy az SBOM vontatása további anyagjegyzékeket szült, köztük a DBOM-ot (adat), HBOM (hardver), PBOM (csővezeték) és CBOM (kiberbiztonság). Az idő eldönti, hogy az előnyök felülmúlják-e a fejlesztőkre háruló nagy gondosságot, de sokan abban reménykednek, hogy a BOM mozgalom egységes gondolkodásmódot és megközelítést eredményezhet a problémákkal kapcsolatban.

További irányelvek és együttműködések, beleértve a Securing Open Source Software Act, Supply chain Levels for Software Artifacts (SLSA) keretrendszerés A NIST biztonságos szoftverfejlesztési keretrendszere (SSDF), úgy tűnik, hogy ösztönzik azokat a gyakorlatokat, amelyek a nyílt forráskódot oly mindenütt elterjedtté tették – a kollektív közösség együtt dolgozik azzal a céllal, hogy biztosítsa az alapértelmezés szerint biztonságos szoftverellátási láncot.

A nyílt forráskóddal és a manipulációval, a támadásokkal és annak célzásával kapcsolatos „hátrányokra” való nyílt összpontosítás új erőfeszítéseket szült a kapcsolódó kockázatok csökkentésére, mind a fejlesztési folyamatok és jelentések, mind pedig a technológia terén. Befektetések zajlanak annak érdekében, hogy elkerüljék a rosszindulatú összetevők lenyelését. A szoftverfejlesztéssel, a szoftverfejlesztési életciklussal (SDLC) és az ellátási lánc egészével kapcsolatos önvizsgálat és a valós életből származó tanulás rendkívül hasznos a közösség számára ebben a szakaszban.

Valójában a nyílt forráskód nagy hasznot hoz… nyílt forráskód! A fejlesztők a nyílt forráskódú eszközökre támaszkodnak a kritikus biztonsági ellenőrzések integrálása érdekében folyamatos integráció/folyamatos szállítás (CI/CD) csővezeték. Folyamatos erőfeszítések az erőforrások biztosítására, mint például a OpenSSF scorecard, az automatizált pontozás ígéretével, és a Nyílt forráskódú szoftver (OSS) Secure Supply Chain (SSC) keretrendszer, egy fogyasztás-központú keretrendszer, amely a fejlesztők védelmét szolgálja a valós OSS ellátási lánc fenyegetéseivel szemben, csak két példa az ígéretes tevékenységekre, amelyek támogatják a csapatokat a szoftver összeállítása során.

Erõsebb együtt

A nyílt forráskód megvan és lesz módosítsa a szoftveres játékot. Ez hatással volt arra, ahogyan a világ szoftvereket készít. Segített felgyorsítani a piacra kerülést. Ösztönözte az innovációt és csökkentette a fejlesztési költségeket. Vitathatatlanul pozitív hatással volt a biztonságra, de még van tennivaló. Egy biztonságosabb világ felépítéséhez pedig egy falu össze kell jönnie, hogy megosszák ötleteiket és bevált gyakorlataikat a nagyobb közösséggel.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-