最新のソフトウェア: 本当の中身は?

サイバーセキュリティ業界がカンファレンス シーズンに近づくにつれ、コミュニティのメンバーが熱心に経験を共有しているのを見るのは驚くべきことです。 講演者の募集プロセスは、サイバーセキュリティ エコシステム全体の集合的な心にあるものの詳細かつ広範なスナップショットを提供すると主張する人もいるかもしれません。 今年の「RSAC 2023 提出依頼の傾向レポート」は、以前に観察されたよりもユビキタスになり、サイロ化されなくなったオープンソース内およびその周辺にありました. 最新のソフトウェアは変化しており、それに伴って約束と危険が伴います。

独自のソフトウェアを作成する人はいますか?

驚くことではありませんが、サイバーセキュリティの専門家は、ソフトウェアの組み立て、テスト、展開、パッチ適用の方法について多くの時間を費やしています。 ソフトウェアは、規模やセクターに関係なく、あらゆるビジネスに大きな影響を与えます。 T規模と複雑さが増すにつれて、チームとプラクティスは進化してきました。 その結果、「最新のソフトウェアは、書かれているよりも組み立てられています」と、Target のシニア ディレクターである Jennifer Czaplewski は言います。 彼女は RSA Conference プログラム委員会のメンバーでもあります。 それは単なる意見ではありません。 業界全体でどれだけのソフトウェアにオープン ソース コンポーネント (大小さまざまな攻撃の直接の標的となるコード) が含まれているかの推定値 70% からほぼ 100% の範囲、保護するために巨大で変化する攻撃面を作成し、すべてのサプライチェーンにとって重要な重点領域を作成します。

コードのアセンブリは、広範な依存関係 (および推移的な依存関係) を自然なアーティファクトとして作成します。 これらの依存関係は実際のコードよりもはるかに深く、それを組み込むチームは、コードの実行、テスト、および保守に使用されるプロセスをよりよく理解する必要もあります。

今日、ほぼすべての組織がオープンソース コードに依存することは避けられません。そのため、オープンソース コンポーネントをソフトウェア スタックに組み込む前、最中、後に、リスクを評価し、使用をカタログ化し、影響を追跡し、十分な情報に基づいた意思決定を行うためのより良い方法が求められています。

成功のための信頼と構成要素の構築

オープンソースは技術的な問題だけではありません。 またはプロセスの問題。 または人の問題。 それは本当にすべてに広がり、開発者、最高情報セキュリティ責任者 (CISO)、政策立案者のすべてが役割を果たします。 これらすべてのグループにわたる透明性、コラボレーション、およびコミュニケーションは、重要な信頼を構築するための鍵です。

信頼構築の焦点の XNUMX つは、ソフトウェア部品表 (SBOM) です。 バイデン大統領の 2021 年 XNUMX 月の大統領令. 資産の制御と可視性、脆弱性へのより迅速な対応時間、全体的なソフトウェア ライフサイクル管理の改善など、その実装による定量化可能な利点の具体的な観察が見られ始めています。 SBOM の牽引力は、追加の BOM を生み出したようで、その中には DBOM (データ)、HBOM (ハードウェア)、PBOM (パイプライン)、および CBOM (サイバーセキュリティ)。 そのメリットが開発者に課せられる多大な注意を上回るかどうかは時が経てばわかりますが、多くの人は、BOM の動きによって問題に対する考え方や取り組み方が統一されることを期待しています。

以下を含む追加のポリシーとコラボレーション セキュア オープン ソース ソフトウェア法, ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) フレームワーク, NIST のセキュア ソフトウェア開発フレームワーク (SSDF)、オープンソースを非常にユビキタスにした慣行を奨励しているようです—デフォルトで安全なソフトウェアサプライチェーンを確保するという目標で協力する集団コミュニティ.

オープン ソース コードとその改ざん、攻撃、および標的化に関する「短所」へのあからさまな焦点は、開発プロセスとレポート、およびテクノロジの両方を使用して、関連するリスクを軽減するための新しい取り組みを生み出しました。 そもそも悪意のあるコンポーネントの取り込みを回避するための投資が行われています。 ソフトウェア開発、ソフトウェア開発ライフ サイクル (SDLC)、およびサプライ チェーン全体に関するこの内省と実際の学習は、この段階のコミュニティにとって非常に有益です。

実際、オープンソースには大きなメリットがあります… オープンソース! 開発者は、オープン ソース ツールを利用して重要なセキュリティ コントロールを統合します。 継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン。 などのリソースを提供するための継続的な取り組み OpenSSF スコアカード、自動スコアリングの約束、および オープン ソース ソフトウェア (OSS) セキュア サプライ チェーン (SSC) フレームワーク現実世界の OSS サプライ チェーンの脅威から開発者を保護するために設計された、消費に重点を置いたフレームワークである は、ソフトウェアを組み立てるチームをサポートする有望な活動の XNUMX つの例にすぎません。

一緒に強く

オープンソースはこれまでもこれからも ソフトウェア ゲームを変更します。. それは、世界がソフトウェアを構築する方法に影響を与えてきました。 市場投入までの時間を短縮するのに役立ちました。 これにより、イノベーションが促進され、開発コストが削減されました。 間違いなく、セキュリティにプラスの影響がありましたが、まだやるべきことが残っています. そして、より安全な世界を構築するには、村が団結してアイデアやベスト プラクティスをより大きなコミュニティと共有する必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-