IT 業界では、新機能の出荷と、信頼性、パフォーマンス、テスト、そしてセキュリティなどの技術的負債の返済との間には常にトレードオフが存在します。
この「早く出荷し、物を壊す」時代において、セキュリティ債務の蓄積は組織が自発的に行う決定です。 どの組織でも、セキュリティ パッチのデプロイやプログラミング言語やフレームワークの最新かつ最も安定したバージョンの実行など、「いつか」のセキュリティ タスクが Jira バックログに詰め込まれています。 正しいことを行うには時間がかかり、チームは新機能を優先するため、これらのタスクを故意に延期します。 CISO の仕事の大きな部分は、セキュリティ上の負債を支払わなければならない瞬間を認識することです。
その原因となった XNUMX つのことは、 Log4jエクスプロイト CISO にとって非常に憂慮すべきだったのは、気付かなかった膨大な累積債務が存在するという認識でした。 これにより、オープンソース プロジェクトと、それらを使用する作成者、メンテナ、パッケージ マネージャー、組織のエコシステムとの間に隠れたセキュリティ ギャップが露呈しました。
ソフトウェア サプライ チェーンのセキュリティは、セキュリティ負債の貸借対照表上で特有の項目ですが、CISO はそれを返済するための一貫した計画をまとめることができます。
新しい種類の脆弱性
ほとんどの企業は、ネットワーク セキュリティを確実に強化することに成功しています。 しかし、開発者がシステムを構築したり、アプリケーションの作成に利用するソフトウェア アーティファクトには信頼メカニズムや安全な保管過程がないために、あらゆる種類のエクスプロイトが可能になります。
今日、常識のある人なら誰でも、セキュリティ上のリスクがあるため、ランダムなサムドライブを手に取ってコンピュータに接続しないことを知っています。 しかし、何十年もの間、開発者はダウンロードし続けてきました オープンソースパッケージ 彼らが安全であることを確認する方法はありません。
この攻撃ベクトルは簡単に手に入る新しい成果であるため、悪意のある攻撃者はこの攻撃ベクトルを利用しています。 彼らは、これらの穴を通じてアクセスできることに気づき、侵入すると、侵入に使用した安全でないアーティファクトに依存する他のすべてのシステムにピボットします。
ビルドシステムをロックダウンして掘削を停止する
CISO の基本的な出発点は、開発者ガイドなどの資料で承認されています。ソフトウェア サプライ チェーンの保護」は、NIST の Secure Software Development Framework (SSDF) や OpenSSF のようなオープンソース フレームワークの使用を開始することです。 ソフトウェア成果物のサプライチェーンレベル (SLSA)。 これらは基本的に、サプライチェーンをロックダウンするための規範的な手順です。 SLSA レベル 1 は、ビルド システムを使用することです。 レベル 2 では、いくつかのログとメタデータをエクスポートします (これにより、後で調べてインシデント対応を行うことができます)。 レベル 3 は、一連のベスト プラクティスに従うことです。 レベル 4 は、本当に安全なビルド システムを使用することです。 これらの最初の手順に従うことで、CISO はデフォルトで安全なソフトウェア サプライ チェーンを構築するための強力な基盤を構築できます。
CISO が開発者チームが最初にオープンソース ソフトウェアを取得する方法に関するポリシーを検討するにつれて、事態はさらに微妙になってきます。 開発者は、何が「安全」であると考えられているかに関する会社のポリシーをどのようにして知るのでしょうか? そして、彼らはどのようにして、自分たちが取得しているオープンソース (これは、 大多数 最近開発者によって使用されているすべてのソフトウェアのうち) は本当に改ざんされていないのでしょうか?
ビルド システムをロックダウンし、ソフトウェア アーティファクトを環境に持ち込む前にその出所を検証する反復可能な方法を作成することで、CISO は組織にセキュリティ上の負債のさらなる穴を掘るのを効果的に阻止できます。
古いソフトウェア サプライ チェーンのセキュリティ債務を返済するにはどうすればよいでしょうか?
基本イメージとビルド環境をロックダウンして調査を停止したら、今度はソフトウェアを更新し、基本イメージのバージョンを含む脆弱性にパッチを適用する必要があります。
ソフトウェアの更新と CVE のパッチ適用は非常に面倒です。 それは退屈で、時間がかかり、面倒な仕事です。 それはサイバーセキュリティの「野菜を食べる」ことです。 この負債を返済するには、CISO と開発チームの間の緊密な協力が必要です。 また、これは、組織のソフトウェア サプライ チェーンをデフォルトで安全にするのに役立つ、より安全で生産的なツールとプロセスについて両チームが合意する機会でもあります。
変化を好まない人がいるのと同じように、ソフトウェア チームによってはコンテナのベース イメージの更新を好まない人もいます。 基本イメージは、コンテナベースのソフトウェア アプリケーションの最初の層です。 基本イメージを新しいバージョンに更新すると、特にテスト カバレッジが不十分な場合、ソフトウェア アプリケーションが破損することがあります。 そのため、一部のソフトウェア チームは現状維持を好み、基本的に作業用のベース イメージ バージョンを無期限に使い続け、毎日 CVE が蓄積される可能性があります。
この脆弱性の蓄積を避けるために、ソフトウェア チームは小さな変更を加えてイメージを頻繁に更新し、カナリア リリースのような「実稼働環境でのテスト」を実践する必要があります。 強化され、サイズが最小限で、次のような重要なソフトウェア サプライ チェーンのセキュリティ メタデータで構築されたコンテナ イメージを使用します。 ソフトウェア部品表 (SBOM)、出所、および署名は、基本イメージでの日々の脆弱性管理の時間のかかる苦痛を軽減するのに役立ちます。 これらの技術は、安全性を維持することと、生産性が低下しないようにすることとの間で適切なバランスを保っています。
従量課金制を開始
保証債務の厄介な点は、「いつか」のために債務を積み立て続けていると、通常、最も脆弱で、支払う余裕が最もないときに債務が頭をもたげることです。 Log4j の脆弱性は、年末の忙しい電子商取引サイクルの直前に発生し、多くのエンジニアリング チームとセキュリティ チームが翌年まで機能不全に陥りました。 CISO は、セキュリティ上の驚きが隠されていることを望んでいません。
すべての CISO は、より安全なビルド システム、開発者が環境にソフトウェアを持ち込む前にソフトウェアの出所を確立するためのソフトウェア署名方法、およびソフトウェアとアプリケーションの基盤での攻撃対象領域を削減する強化された最小限のコンテナ ベース イメージに対して最小限の投資を行う必要があります。 。
この大規模なソフトウェア サプライ チェーンのセキュリティ負債の返済の深層部で、CISO は開発者に(基本イメージと脆弱性のあるソフトウェアを継続的に更新することで)開発者にいくら支払ってもらうつもりなのか、それとも負債を先送りして許容レベルのセキュリティ負債を達成するのかという難題に直面しています。脆弱性。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :持っている
- :は
- :not
- $UP
- 1
- 7
- a
- 私たちについて
- ことができます。
- アクセス
- 累積された
- 累積
- 達成する
- 取得する
- 取得
- 俳優
- すべて
- 緩和する
- また
- 常に
- an
- および
- 誰も
- 申し込み
- です
- AS
- At
- 攻撃
- 避ける
- 離れて
- 貸借対照表
- ベース
- 基本的に
- BE
- なぜなら
- き
- BEST
- ベストプラクティス
- の間に
- ビッグ
- 札
- 退屈な
- 両言語で
- ブレーク
- 持って来る
- 持参
- ビルド
- 建物
- 内蔵
- 忙しい
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 大文字
- チェーン
- 変化する
- 変更
- CISO
- class
- コヒーレント
- 環境、テクノロジーを推奨
- コマンドと
- 企業
- 会社
- コンピュータ
- 見なさ
- コンテナ
- 継続的に
- 難問
- カバレッジ
- 作ります
- 作成
- クリエイター
- 重大な
- 親権
- サイバーセキュリティ
- サイクル
- daily
- 日
- 借金
- 数十年
- 決定
- 深いです
- より深い
- デフォルト
- 展開する
- Developer
- 開発者
- 開発
- do
- doesnの
- すること
- ドン
- ダウン
- ドライブ
- 原因
- eコマース
- 食べる
- 生態系
- 効果的に
- エンジニアリング
- エントリ
- 環境
- 環境
- 時代
- 特に
- 本質的に
- 確立する
- さらに
- あらゆる
- エクスプロイト
- export
- 露出した
- 顔
- スピーディー
- 特徴
- ファイリング
- 名
- 最初のステップ
- フォロー中
- Foundation
- フレームワーク
- フレームワーク
- 頻繁に
- 機能性
- 基本的な
- 利得
- ギャップ
- 取得する
- Go
- 良い
- ガイド
- 持ってる
- 助けます
- 隠されました
- ホール
- 穴
- 休日
- 認定条件
- HTTPS
- 巨大な
- if
- 画像
- 画像
- in
- 事件
- インシデント対応
- 含ま
- 含めて
- 安全でない
- 内部
- に
- 投資
- IT
- ITS
- ジョブ
- ただ
- キープ
- 知っている
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 後で
- 層
- 最低
- レベル
- レベル
- 活用します
- ような
- 可能性が高い
- LINE
- ログ4j
- 見て
- 製
- make
- 作成
- 管理
- マネージャー
- 多くの
- 大規模な
- 材料
- メカニズム
- 方法
- メソッド
- 最小限の
- 最小
- モーメント
- 他には?
- 最も
- ずっと
- しなければなりません
- 必要
- ネットワーク
- ネットワークセキュリティー
- 新作
- 新しい特徴
- 最新
- ニスト
- いいえ
- 今
- of
- 古い
- on
- かつて
- 開いた
- オープンソース
- 機会
- or
- 組織
- 組織
- その他
- が
- パッケージ
- 支払われた
- 痛み
- 部
- パッチ
- パッチ
- 補修
- 支払う
- 支払い
- のワークプ
- パフォーマンス
- 選ぶ
- 枢軸
- 場所
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラグ
- ポイント
- ポリシー
- 可能
- プラクティス
- 好む
- 優先順位付け
- ラボレーション
- 生産
- 生産性の高い
- プログラミング
- プログラミング言語
- プロジェクト(実績作品)
- 来歴
- 置きます
- レーダー
- ランダム
- RE
- 実現
- 実現する
- 本当に
- 認識
- 減らします
- リリース
- 信頼性
- 繰り返し可能
- 必要
- 応答
- 右
- リスク
- ランニング
- s
- 安全な
- 安全に
- セキュリティ
- セキュリティリスク
- センス
- シリーズ
- シート
- 船
- 発送
- すべき
- 署名
- 署名
- サイズ
- 小さい
- So
- ソフトウェア
- ソフトウェア開発
- 一部
- いつか
- ソース
- 安定した
- start
- 起動
- Status:
- ステップ
- Force Stop
- 停止
- ストライキ
- 強い
- スーパー
- 供給
- サプライチェーン
- 確か
- 表面
- 驚き
- システム
- 取り
- タスク
- チーム
- 技術的
- テクニック
- test
- テスト
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- もの
- 物事
- 考える
- この
- それらの
- 介して
- 時間
- 時間がかかる
- 〜へ
- 一緒に
- 信頼
- 一般的に
- ユニーク
- 独特に
- アップデイト
- 更新
- つかいます
- 中古
- Ve
- 確認する
- バージョン
- 対
- 自発的に
- 脆弱性
- 脆弱性
- 脆弱な
- 望んでいる
- ました
- だった
- 仕方..
- WELL
- この試験は
- どのような
- いつ
- which
- 誰
- 全体
- 喜んで
- 仕事
- ワーキング
- 書きます
- 年
- はい
- You
- あなたの
- ゼファーネット