כשתעשיית אבטחת הסייבר מתקרבת לעונת הכנסים, זה מדהים לראות את חברי הקהילה להוטים לחלוק את החוויות שלהם. אפשר לטעון שתהליך הקריאה לדוברים מציע תמונת מצב עמוקה ורחבה של מה שעובר על המחשבות הקולקטיביות של כל מערכת אבטחת הסייבר. אחד הנושאים המסקרנים ביותר לדיון שנצפו ב"דוח מגמות של RSAC 2023 Call for Submissions"היה בקוד פתוח ובסביבתו, שהפך להיות יותר בכל מקום ופחות מושחת ממה שנצפה בעבר. התוכנה המודרנית השתנתה, ואיתה מגיעות הבטחות וסכנות.
האם מישהו כבר כותב תוכנה משלו?
באופן לא מפתיע, מומחי אבטחת סייבר מבלים זמן רב בדיבור על תוכנה - כיצד היא מורכבת, נבדקת, נפרסת ומתוקנת. לתוכנה יש השפעה משמעותית על כל עסק, ללא הבדל גודל או מגזר. טהשיטות והפרקטיקות התפתחו ככל שההיקף והמורכבות גדלו. כתוצאה מכך, "תוכנה מודרנית מורכבת יותר ממה שהיא נכתבת", אומרת ג'ניפר צ'פלבסקי, מנהלת בכירה ב-Target, שם היא מובילה את DevSecOps ואבטחת נקודות קצה; היא גם חברה בוועדת התוכנית של ועידת RSA. זו לא רק דעה. הערכות לגבי כמות התוכנה בתעשייה הכוללת רכיבי קוד פתוח - קוד שממוקד ישירות בהתקפות קטנות כגדולות - נע בין 70% לכמעט 100%, יצירת משטח התקפה ענק ומשתנה להגנה, ואזור מיקוד קריטי עבור שרשרת האספקה של כולם.
הרכבה של קוד יוצרת תלות נרחבת - ותלות מעבר - כחפצים טבעיים. התלות הללו עמוקות בהרבה מהקוד בפועל, והצוותים שמשלבים אותו צריכים גם להבין טוב יותר את התהליכים המשמשים להרצה, לבדיקה ולתחזוקה שלו.
כמעט לכל ארגון כיום יש הסתמכות בלתי נמנעת על קוד קוד פתוח, מה שהניע את הדרישה לדרכים טובות יותר להעריך סיכונים, שימוש בקטלוג, מעקב אחר השפעה וקבלת החלטות מושכלות לפני, במהלך ואחרי שילוב רכיבי קוד פתוח בערימות תוכנה.
בניית אמון ורכיבים להצלחה
קוד פתוח הוא לא רק בעיה טכנולוגית. או בעיה בתהליך. או בעיה של אנשים. זה באמת משתרע על פני הכל, ומפתחים, קציני אבטחת מידע ראשיים (CISOs) וקובעי מדיניות כולם משחקים תפקיד. שקיפות, שיתוף פעולה ותקשורת בכל הקבוצות הללו הם המפתח לבניית אמון קריטי.
מוקד אחד לבניית אמון הוא ביל החומרים של התוכנה (SBOM), שגדל בפופולריות לאחר מכן הצו הביצועי של הנשיא ביידן מאי 2021. אנחנו מתחילים לראות תצפיות מוחשיות על יתרונות הניתנים לכימות מהטמעתו, כולל שליטה ונראות של נכסים, זמני תגובה מהירים יותר לפגיעויות, וניהול מחזור חיי תוכנה טוב יותר באופן כללי. נראה שהמשיכה של SBOM הולידה BOMs נוספים, ביניהם DBOM (נתונים), HBOM (חומרה), PBOM (צינור) ו-CBOM (אבטחת סייבר). הזמן יגיד אם היתרונות עולים על חובת הזהירות הכבדה המוטלת על מפתחים, אך רבים מקווים שתנועת BOM יכולה להוביל לדרך אחידה של חשיבה וגישה לבעיה.
מדיניות ושיתופי פעולה נוספים, כולל חוק אבטחת תוכנת קוד פתוח, רמות שרשרת אספקה עבור מסגרת תוכנה חפצי (SLSA)., ו מסגרת פיתוח תוכנה מאובטחת של NIST (SSDF)נראה כי הם מעודדים את הפרקטיקות שהפכו את הקוד הפתוח לכל כך בכל מקום - הקהילה הקולקטיבית עובדת יחד במטרה להבטיח שרשרת אספקת תוכנה מאובטחת כברירת מחדל.
ההתמקדות הגלויה ב"חסרונות" סביב קוד קוד פתוח ומניפולציה, התקפות והכוונה אליו הולידה מאמצים חדשים לצמצם את הסיכון הקשור, הן בתהליכי פיתוח ודוחות, כמו גם בטכנולוגיה. השקעות נעשות כדי למנוע בליעת רכיבים זדוניים מלכתחילה. התבוננות פנימית זו והלמידה מהחיים האמיתיים סביב פיתוח תוכנה, מחזור החיים של פיתוח תוכנה (SDLC) ושרשרת האספקה בכללותה מועילים להפליא לקהילה בשלב זה.
למעשה, קוד פתוח יכול להועיל מאוד... קוד פתוח! מפתחים מסתמכים על כלי קוד פתוח כדי לשלב בקרות אבטחה קריטיות כחלק מה- אינטגרציה מתמשכת/משלוח מתמשך (צינור CI/CD). מאמצים מתמשכים לספק משאבים, כגון כרטיס ניקוד של OpenSSF, עם ההבטחה שלה לניקוד אוטומטי, וה מסגרת תוכנת קוד פתוח (OSS) Secure Supply Chain (SSC)., מסגרת ממוקדת צריכה שנועדה להגן על מפתחים מפני איומי שרשרת האספקה של OSS בעולם האמיתי, הן רק שתי דוגמאות לפעילויות מבטיחות שיתמכו בצוותים בזמן שהם מרכיבים תוכנה.
חזקים ביחד
קוד פתוח יש וימשיך לשנות את משחק התוכנה. זה השפיע על האופן שבו העולם בונה תוכנה. זה עזר להאיץ את זמן היציאה לשוק. זה עורר חדשנות והפחית את עלויות הפיתוח. ניתן לטעון, הייתה לכך השפעה חיובית על האבטחה, אך נותרה עבודה לעשות. ובניית עולם בטוח יותר דורשת כפר שמתאחד כדי לחלוק רעיונות ושיטות עבודה מומלצות עם הקהילה הגדולה יותר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- אודות
- לרוחב
- פעילויות
- נוסף
- לאחר
- נגד
- תעשיות
- בין
- ו
- כל אחד
- גישות
- מתקרב
- AREA
- לטעון
- סביב
- התאסף
- נכסים
- המשויך
- לתקוף
- המתקפות
- אוטומטי
- להיות
- לפני
- להיות
- מועיל
- תועלת
- הטבות
- הטוב ביותר
- שיטות עבודה מומלצות
- מוטב
- ביידן
- הצעת חוק
- רחב
- בִּניָן
- בונה
- עסקים
- שיחה
- אשר
- קטלוג
- שרשרת
- רֹאשׁ
- קוד
- שיתוף פעולה
- שיתופי פעולה
- קבוצתי
- מגיע
- הוועדה
- תקשורת
- קהילה
- מורכבות
- רכיבים
- כנס
- הקונגרס
- חסרונות
- להמשיך
- נמשך
- לִשְׁלוֹט
- בקרות
- עלויות
- יכול
- יוצר
- יוצרים
- קריטי
- אבטחת סייבר
- מחזור
- החלטות
- עמוק
- עמוק יותר
- מסירה
- דרישה
- פרס
- מעוצב
- מפתחים
- צעצועי התפתחות
- ישירות
- מְנַהֵל
- דיון
- מונע
- בְּמַהֲלָך
- המערכת האקולוגית
- מַאֲמָצִים
- לעודד
- נקודת קצה
- אבטחה נקודת קצה
- הבטחתי
- שלם
- הערכות
- כל
- כולם
- הכל
- התפתח
- דוגמאות
- מנהלים
- חוויות
- ראשון
- להתמקד
- פורבס
- מסגרת
- החל מ-
- נתן
- מטרה
- יותר
- מאוד
- קבוצה
- חומרה
- עזר
- איך
- HTTPS
- עצום
- רעיונות
- פְּגִיעָה
- הפעלה
- in
- כולל
- כולל
- שילוב
- גדל
- מדהים
- בצורה מדהימה
- תעשייה
- מידע
- אבטחת מידע
- הודעה
- חדשנות
- לשלב
- השקעות
- סוגיה
- IT
- ג'ניפר
- מפתח
- גָדוֹל
- עוֹפֶרֶת
- מוביל
- רמות
- החיים
- מעגל החיים
- מגרש
- עשוי
- לתחזק
- לעשות
- ניהול
- מניפולציה
- רב
- שוק
- חומרים
- חבר
- להרשם/להתחבר
- רק
- יכול
- מוחות
- להקל
- מודרני
- יותר
- רוב
- תנועה
- טבעי
- כמעט
- צורך
- חדש
- ניסט
- המיוחדות שלנו
- קצינים
- ONE
- לפתוח
- קוד פתוח
- דעה
- ארגון
- לנו
- מקיף
- שֶׁלוֹ
- חלק
- אֲנָשִׁים
- צינור
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- נקודה
- מדיניות
- קובעי מדיניות
- פופולריות
- חיובי
- פרקטיקות
- קוֹדֶם
- בעיה
- תהליך
- תהליכים
- אנשי מקצוע
- תָכְנִית
- הבטחה
- מבטיח
- להגן
- לספק
- גם
- מהיר
- RE
- עולם אמיתי
- מופחת
- ללא קשר
- הסתמכות
- שְׂרִידִים
- דוחות לדוגמא
- משאבים
- תגובה
- תוצאה
- הסיכון
- תפקיד
- RSA
- כנס rsa
- הפעלה
- אומר
- סולם
- מניה
- עונה
- מגזר
- לבטח
- אַבטָחָה
- אבטחה
- נראה
- לחצני מצוקה לפנסיונרים
- שיתוף
- הסטה
- משמעותי
- מידה
- קטן
- תמונת בזק
- So
- תוכנה
- פיתוח תוכנה
- מָקוֹר
- קוד מקור
- מְהִירוּת
- לבלות
- ערימות
- התמחות
- החל
- הגשות
- כזה
- לספק
- שרשרת אספקה
- תמיכה
- משטח
- לוקח
- מדבר
- יעד
- ממוקד
- מיקוד
- צוותי
- טכנולוגיה
- מבחן
- השמיים
- העולם
- שֶׁלָהֶם
- חושב
- השנה
- איומים
- זמן
- פִּי
- ל
- היום
- יַחַד
- כלים
- נושאים
- לעקוב
- כוח משיכה
- שקיפות
- מגמות
- סומך
- נמצא בכל מקום
- להבין
- להשתמש
- כפר
- ראות
- פגיעויות
- דרכים
- מה
- אם
- אשר
- כל
- נָפוֹץ
- יצטרך
- תיק עבודות
- עובד
- עוֹלָם
- לכתוב
- כתוב
- שנה
- זפירנט