תוכנה מודרנית: מה באמת יש בפנים?

כשתעשיית אבטחת הסייבר מתקרבת לעונת הכנסים, זה מדהים לראות את חברי הקהילה להוטים לחלוק את החוויות שלהם. אפשר לטעון שתהליך הקריאה לדוברים מציע תמונת מצב עמוקה ורחבה של מה שעובר על המחשבות הקולקטיביות של כל מערכת אבטחת הסייבר. אחד הנושאים המסקרנים ביותר לדיון שנצפו ב"דוח מגמות של RSAC 2023 Call for Submissions"היה בקוד פתוח ובסביבתו, שהפך להיות יותר בכל מקום ופחות מושחת ממה שנצפה בעבר. התוכנה המודרנית השתנתה, ואיתה מגיעות הבטחות וסכנות.

האם מישהו כבר כותב תוכנה משלו?

באופן לא מפתיע, מומחי אבטחת סייבר מבלים זמן רב בדיבור על תוכנה - כיצד היא מורכבת, נבדקת, נפרסת ומתוקנת. לתוכנה יש השפעה משמעותית על כל עסק, ללא הבדל גודל או מגזר. טהשיטות והפרקטיקות התפתחו ככל שההיקף והמורכבות גדלו. כתוצאה מכך, "תוכנה מודרנית מורכבת יותר ממה שהיא נכתבת", אומרת ג'ניפר צ'פלבסקי, מנהלת בכירה ב-Target, שם היא מובילה את DevSecOps ואבטחת נקודות קצה; היא גם חברה בוועדת התוכנית של ועידת RSA. זו לא רק דעה. הערכות לגבי כמות התוכנה בתעשייה הכוללת רכיבי קוד פתוח - קוד שממוקד ישירות בהתקפות קטנות כגדולות - נע בין 70% לכמעט 100%, יצירת משטח התקפה ענק ומשתנה להגנה, ואזור מיקוד קריטי עבור שרשרת האספקה ​​של כולם.

הרכבה של קוד יוצרת תלות נרחבת - ותלות מעבר - כחפצים טבעיים. התלות הללו עמוקות בהרבה מהקוד בפועל, והצוותים שמשלבים אותו צריכים גם להבין טוב יותר את התהליכים המשמשים להרצה, לבדיקה ולתחזוקה שלו.

כמעט לכל ארגון כיום יש הסתמכות בלתי נמנעת על קוד קוד פתוח, מה שהניע את הדרישה לדרכים טובות יותר להעריך סיכונים, שימוש בקטלוג, מעקב אחר השפעה וקבלת החלטות מושכלות לפני, במהלך ואחרי שילוב רכיבי קוד פתוח בערימות תוכנה.

בניית אמון ורכיבים להצלחה

קוד פתוח הוא לא רק בעיה טכנולוגית. או בעיה בתהליך. או בעיה של אנשים. זה באמת משתרע על פני הכל, ומפתחים, קציני אבטחת מידע ראשיים (CISOs) וקובעי מדיניות כולם משחקים תפקיד. שקיפות, שיתוף פעולה ותקשורת בכל הקבוצות הללו הם המפתח לבניית אמון קריטי.

מוקד אחד לבניית אמון הוא ביל החומרים של התוכנה (SBOM), שגדל בפופולריות לאחר מכן הצו הביצועי של הנשיא ביידן מאי 2021. אנחנו מתחילים לראות תצפיות מוחשיות על יתרונות הניתנים לכימות מהטמעתו, כולל שליטה ונראות של נכסים, זמני תגובה מהירים יותר לפגיעויות, וניהול מחזור חיי תוכנה טוב יותר באופן כללי. נראה שהמשיכה של SBOM הולידה BOMs נוספים, ביניהם DBOM (נתונים), HBOM (חומרה), PBOM (צינור) ו-CBOM (אבטחת סייבר). הזמן יגיד אם היתרונות עולים על חובת הזהירות הכבדה המוטלת על מפתחים, אך רבים מקווים שתנועת BOM יכולה להוביל לדרך אחידה של חשיבה וגישה לבעיה.

מדיניות ושיתופי פעולה נוספים, כולל חוק אבטחת תוכנת קוד פתוח, רמות שרשרת אספקה ​​עבור מסגרת תוכנה חפצי (SLSA)., ו מסגרת פיתוח תוכנה מאובטחת של NIST (SSDF)נראה כי הם מעודדים את הפרקטיקות שהפכו את הקוד הפתוח לכל כך בכל מקום - הקהילה הקולקטיבית עובדת יחד במטרה להבטיח שרשרת אספקת תוכנה מאובטחת כברירת מחדל.

ההתמקדות הגלויה ב"חסרונות" סביב קוד קוד פתוח ומניפולציה, התקפות והכוונה אליו הולידה מאמצים חדשים לצמצם את הסיכון הקשור, הן בתהליכי פיתוח ודוחות, כמו גם בטכנולוגיה. השקעות נעשות כדי למנוע בליעת רכיבים זדוניים מלכתחילה. התבוננות פנימית זו והלמידה מהחיים האמיתיים סביב פיתוח תוכנה, מחזור החיים של פיתוח תוכנה (SDLC) ושרשרת האספקה ​​בכללותה מועילים להפליא לקהילה בשלב זה.

למעשה, קוד פתוח יכול להועיל מאוד... קוד פתוח! מפתחים מסתמכים על כלי קוד פתוח כדי לשלב בקרות אבטחה קריטיות כחלק מה- אינטגרציה מתמשכת/משלוח מתמשך (צינור CI/CD). מאמצים מתמשכים לספק משאבים, כגון כרטיס ניקוד של OpenSSF, עם ההבטחה שלה לניקוד אוטומטי, וה מסגרת תוכנת קוד פתוח (OSS) Secure Supply Chain (SSC)., מסגרת ממוקדת צריכה שנועדה להגן על מפתחים מפני איומי שרשרת האספקה ​​של OSS בעולם האמיתי, הן רק שתי דוגמאות לפעילויות מבטיחות שיתמכו בצוותים בזמן שהם מרכיבים תוכנה.

חזקים ביחד

קוד פתוח יש וימשיך לשנות את משחק התוכנה. זה השפיע על האופן שבו העולם בונה תוכנה. זה עזר להאיץ את זמן היציאה לשוק. זה עורר חדשנות והפחית את עלויות הפיתוח. ניתן לטעון, הייתה לכך השפעה חיובית על האבטחה, אך נותרה עבודה לעשות. ובניית עולם בטוח יותר דורשת כפר שמתאחד כדי לחלוק רעיונות ושיטות עבודה מומלצות עם הקהילה הגדולה יותר.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-