Mentre il settore della sicurezza informatica si avvicina alla stagione delle conferenze, è incredibile vedere i membri della comunità desiderosi di condividere le proprie esperienze. Si potrebbe obiettare che il processo di chiamata per gli oratori offre un'istantanea profonda e ampia di ciò che è nelle menti collettive dell'intero ecosistema della sicurezza informatica. Uno degli argomenti di discussione più intriganti osservati nel “Rapporto sulle tendenze dell'invito a presentare proposte RSAC 2023" era dentro e intorno all'open source, che è diventato più onnipresente e meno isolato di quanto osservato in precedenza. Il software moderno è cambiato e con esso arrivano promesse e pericoli.
Qualcuno scrive più il proprio software?
Non sorprende che i professionisti della sicurezza informatica trascorrano molto tempo a parlare di software: come viene assemblato, testato, distribuito e patchato. Il software ha un impatto significativo su ogni azienda, indipendentemente dalle dimensioni o dal settore. Temi e pratiche si sono evoluti con l'aumentare della scala e della complessità. Di conseguenza, "Il software moderno viene assemblato più di quanto non venga scritto", afferma Jennifer Czaplewski, senior director di Target, dove è a capo di DevSecOps e della sicurezza degli endpoint; è anche membro del comitato del programma della RSA Conference. Non è solo un'opinione. Stime della quantità di software nel settore che include componenti open source (codice che viene preso di mira direttamente in attacchi di piccole e grandi dimensioni) vanno dal 70% a quasi il 100%, creando un'enorme superficie di attacco mobile da proteggere e un'area critica di interesse per la supply chain di tutti.
L'assemblaggio del codice crea dipendenze diffuse - e dipendenze transitive - come artefatti naturali. Queste dipendenze sono molto più profonde del codice effettivo e i team che lo stanno incorporando devono anche comprendere meglio i processi utilizzati per eseguirlo, testarlo e mantenerlo.
Quasi tutte le organizzazioni odierne fanno inevitabilmente affidamento sul codice open source, che ha portato alla domanda di modi migliori per valutare il rischio, catalogare l'uso, tenere traccia dell'impatto e prendere decisioni informate prima, durante e dopo l'incorporazione di componenti open source negli stack software.
Costruire fiducia e componenti per il successo
L'open source non è solo una questione di tecnologia. O un problema di processo. O un problema di persone. Si estende davvero a tutto e gli sviluppatori, i responsabili della sicurezza delle informazioni (CISO) e i responsabili delle politiche svolgono tutti un ruolo. La trasparenza, la collaborazione e la comunicazione tra tutti questi gruppi sono fondamentali per costruire una fiducia critica.
Un punto focale per la costruzione della fiducia è la distinta base del software (SBOM), che è cresciuta in popolarità in seguito L'ordine esecutivo del maggio 2021 del presidente Biden. Stiamo iniziando a vedere osservazioni tangibili di vantaggi quantificabili derivanti dalla sua implementazione, tra cui il controllo e la visibilità delle risorse, tempi di risposta più rapidi alle vulnerabilità e una migliore gestione complessiva del ciclo di vita del software. La trazione di SBOM sembra aver generato ulteriori BOM, tra cui DBOM (dati), HBOM (hardware), PBOM (pipeline) e CBOM (sicurezza informatica). Il tempo dirà se i vantaggi supereranno il pesante dovere di cura imposto agli sviluppatori, ma molti sperano che il movimento BOM possa portare a un modo uniforme di pensare e affrontare un problema.
Politiche e collaborazioni aggiuntive, tra cui la legge sulla protezione del software open source, Framework dei livelli della catena di fornitura per gli artefatti software (SLSA).e Framework di sviluppo software sicuro del NIST (SSDF), sembrano incoraggiare le pratiche che hanno reso l'open source così onnipresente: la comunità collettiva che lavora insieme con l'obiettivo di garantire una catena di fornitura di software sicura per impostazione predefinita.
L'evidente attenzione ai "svantaggi" del codice open source e alla manipolazione, agli attacchi e al targeting di esso ha dato vita a nuovi sforzi per mitigare il rischio associato, sia con i processi di sviluppo e i report, sia con la tecnologia. Si stanno facendo investimenti per evitare in primo luogo l'ingestione di componenti dannosi. Questa introspezione e gli apprendimenti nella vita reale sullo sviluppo del software, sul ciclo di vita dello sviluppo del software (SDLC) e sulla catena di fornitura nel suo insieme sono incredibilmente vantaggiosi per la comunità in questa fase.
In effetti, l'open source può trarre grandi vantaggi ... open source! Gli sviluppatori si affidano a strumenti open source per integrare i controlli di sicurezza critici come parte del integrazione continua/consegna continua (CI/CD). Continui sforzi per fornire risorse, come il Scheda punteggio OpenSSF, con la sua promessa di punteggio automatizzato, e il Software open source (OSS) Framework per la catena di fornitura sicura (SSC)., un framework incentrato sul consumo progettato per proteggere gli sviluppatori dalle minacce della supply chain OSS del mondo reale, sono solo due esempi di attività promettenti che supporteranno i team durante l'assemblaggio del software.
Più forti insieme
L'open source ha e continuerà a farlo cambiare il gioco del software. Ha influenzato il modo in cui il mondo crea software. Ha contribuito a velocizzare il time-to-market. Ha stimolato l'innovazione e ridotto i costi di sviluppo. Probabilmente, ha avuto un impatto positivo sulla sicurezza, ma resta ancora del lavoro da fare. E costruire un mondo più sicuro richiede che un villaggio si unisca per condividere idee e migliori pratiche con la comunità più ampia.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- WRI
- operanti in
- attività
- aggiuntivo
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- tra
- ed
- chiunque
- approcci
- si avvicina
- RISERVATA
- discutere
- in giro
- assemblato
- Attività
- associato
- attacco
- attacchi
- Automatizzata
- diventare
- prima
- essendo
- benefico
- beneficio
- vantaggi
- MIGLIORE
- best practice
- Meglio
- Biden
- Conto
- ampio
- Costruzione
- costruisce
- affari
- chiamata
- che
- catalogo
- catena
- capo
- codice
- collaborazione
- collaborazioni
- Collective
- arrivo
- comitato
- Comunicazione
- comunità
- complessità
- componenti
- Convegno
- Congresso
- Svantaggi
- continua
- continua
- di controllo
- controlli
- Costi
- potuto
- crea
- Creazione
- critico
- Cybersecurity
- ciclo
- decisioni
- deep
- più profondo
- consegna
- Richiesta
- schierato
- progettato
- sviluppatori
- Mercato
- direttamente
- Direttore
- discussione
- spinto
- durante
- ecosistema
- sforzi
- incoraggiare
- endpoint
- sicurezza degli endpoint
- assicurando
- Intero
- stime
- Ogni
- tutti
- qualunque cosa
- si è evoluta
- Esempi
- esecutivo
- Esperienze
- Nome
- Focus
- Forbes
- Contesto
- da
- dato
- scopo
- maggiore
- molto
- Gruppo
- Hardware
- aiutato
- Come
- HTTPS
- Enorme
- idee
- Impact
- implementazione
- in
- inclusi
- Compreso
- incorporando
- è aumentato
- incredibile
- incredibilmente
- industria
- informazioni
- informazioni di sicurezza
- informati
- Innovazione
- integrare
- Investimenti
- problema
- IT
- Jennifer
- Le
- grandi
- portare
- Leads
- livelli
- Vita
- ciclo vitale
- lotto
- fatto
- mantenere
- make
- gestione
- Manipolazione
- molti
- Rappresentanza
- Materiale
- membro
- Utenti
- semplicemente
- forza
- menti
- Ridurre la perdita dienergia con una
- moderno
- Scopri di più
- maggior parte
- movimento
- Naturale
- quasi
- Bisogno
- New
- nista
- Offerte
- ufficiali
- ONE
- aprire
- open source
- Opinione
- organizzazione
- Oss
- complessivo
- proprio
- parte
- Persone
- conduttura
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- punto
- Termini e Condizioni
- politici
- popolarità
- positivo
- pratiche
- in precedenza
- Problema
- processi
- i processi
- Scelto dai professionisti
- Programma
- PROMETTIAMO
- promettente
- protegge
- fornire
- metti
- veloce
- RE
- mondo reale
- Ridotto
- Indipendentemente
- fiducia
- resti
- Report
- Risorse
- risposta
- colpevole
- Rischio
- Ruolo
- rsa
- rsaconferenza
- Correre
- dice
- Scala
- punteggio
- Stagione
- settore
- sicuro
- fissaggio
- problemi di
- sembra
- anziano
- Condividi
- MUTEVOLE
- significativa
- Taglia
- piccole
- Istantanea
- So
- Software
- lo sviluppo del software
- Fonte
- codice sorgente
- velocità
- spendere
- Stacks
- Stage
- Di partenza
- Articoli
- tale
- fornire
- supply chain
- supporto
- superficie
- prende
- parlando
- Target
- mirata
- mira
- le squadre
- Tecnologia
- test
- Il
- il mondo
- loro
- Pensiero
- quest'anno
- minacce
- tempo
- volte
- a
- oggi
- insieme
- strumenti
- Argomenti
- pista
- trazione
- Trasparenza
- tendenze
- Affidati ad
- onnipresente
- capire
- uso
- Villaggio
- visibilità
- vulnerabilità
- modi
- Che
- se
- quale
- tutto
- molto diffuso
- volere
- Lavora
- lavoro
- mondo
- scrivere
- scritto
- anno
- zefiro
