サイバーセキュリティ業界がカンファレンス シーズンに近づくにつれ、コミュニティのメンバーが熱心に経験を共有しているのを見るのは驚くべきことです。 講演者の募集プロセスは、サイバーセキュリティ エコシステム全体の集合的な心にあるものの詳細かつ広範なスナップショットを提供すると主張する人もいるかもしれません。 今年の「RSAC 2023 提出依頼の傾向レポート」は、以前に観察されたよりもユビキタスになり、サイロ化されなくなったオープンソース内およびその周辺にありました. 最新のソフトウェアは変化しており、それに伴って約束と危険が伴います。
独自のソフトウェアを作成する人はいますか?
驚くことではありませんが、サイバーセキュリティの専門家は、ソフトウェアの組み立て、テスト、展開、パッチ適用の方法について多くの時間を費やしています。 ソフトウェアは、規模やセクターに関係なく、あらゆるビジネスに大きな影響を与えます。 T規模と複雑さが増すにつれて、チームとプラクティスは進化してきました。 その結果、「最新のソフトウェアは、書かれているよりも組み立てられています」と、Target のシニア ディレクターである Jennifer Czaplewski は言います。 彼女は RSA Conference プログラム委員会のメンバーでもあります。 それは単なる意見ではありません。 業界全体でどれだけのソフトウェアにオープン ソース コンポーネント (大小さまざまな攻撃の直接の標的となるコード) が含まれているかの推定値 70% からほぼ 100% の範囲、保護するために巨大で変化する攻撃面を作成し、すべてのサプライチェーンにとって重要な重点領域を作成します。
コードのアセンブリは、広範な依存関係 (および推移的な依存関係) を自然なアーティファクトとして作成します。 これらの依存関係は実際のコードよりもはるかに深く、それを組み込むチームは、コードの実行、テスト、および保守に使用されるプロセスをよりよく理解する必要もあります。
今日、ほぼすべての組織がオープンソース コードに依存することは避けられません。そのため、オープンソース コンポーネントをソフトウェア スタックに組み込む前、最中、後に、リスクを評価し、使用をカタログ化し、影響を追跡し、十分な情報に基づいた意思決定を行うためのより良い方法が求められています。
成功のための信頼と構成要素の構築
オープンソースは技術的な問題だけではありません。 またはプロセスの問題。 または人の問題。 それは本当にすべてに広がり、開発者、最高情報セキュリティ責任者 (CISO)、政策立案者のすべてが役割を果たします。 これらすべてのグループにわたる透明性、コラボレーション、およびコミュニケーションは、重要な信頼を構築するための鍵です。
信頼構築の焦点の XNUMX つは、ソフトウェア部品表 (SBOM) です。 バイデン大統領の 2021 年 XNUMX 月の大統領令. 資産の制御と可視性、脆弱性へのより迅速な対応時間、全体的なソフトウェア ライフサイクル管理の改善など、その実装による定量化可能な利点の具体的な観察が見られ始めています。 SBOM の牽引力は、追加の BOM を生み出したようで、その中には DBOM (データ)、HBOM (ハードウェア)、PBOM (パイプライン)、および CBOM (サイバーセキュリティ)。 そのメリットが開発者に課せられる多大な注意を上回るかどうかは時が経てばわかりますが、多くの人は、BOM の動きによって問題に対する考え方や取り組み方が統一されることを期待しています。
以下を含む追加のポリシーとコラボレーション セキュア オープン ソース ソフトウェア法, ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) フレームワーク, NIST のセキュア ソフトウェア開発フレームワーク (SSDF)、オープンソースを非常にユビキタスにした慣行を奨励しているようです—デフォルトで安全なソフトウェアサプライチェーンを確保するという目標で協力する集団コミュニティ.
オープン ソース コードとその改ざん、攻撃、および標的化に関する「短所」へのあからさまな焦点は、開発プロセスとレポート、およびテクノロジの両方を使用して、関連するリスクを軽減するための新しい取り組みを生み出しました。 そもそも悪意のあるコンポーネントの取り込みを回避するための投資が行われています。 ソフトウェア開発、ソフトウェア開発ライフ サイクル (SDLC)、およびサプライ チェーン全体に関するこの内省と実際の学習は、この段階のコミュニティにとって非常に有益です。
実際、オープンソースには大きなメリットがあります… オープンソース! 開発者は、オープン ソース ツールを利用して重要なセキュリティ コントロールを統合します。 継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン。 などのリソースを提供するための継続的な取り組み OpenSSF スコアカード、自動スコアリングの約束、および オープン ソース ソフトウェア (OSS) セキュア サプライ チェーン (SSC) フレームワーク現実世界の OSS サプライ チェーンの脅威から開発者を保護するために設計された、消費に重点を置いたフレームワークである は、ソフトウェアを組み立てるチームをサポートする有望な活動の XNUMX つの例にすぎません。
一緒に強く
オープンソースはこれまでもこれからも ソフトウェア ゲームを変更します。. それは、世界がソフトウェアを構築する方法に影響を与えてきました。 市場投入までの時間を短縮するのに役立ちました。 これにより、イノベーションが促進され、開発コストが削減されました。 間違いなく、セキュリティにプラスの影響がありましたが、まだやるべきことが残っています. そして、より安全な世界を構築するには、村が団結してアイデアやベスト プラクティスをより大きなコミュニティと共有する必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- 私たちについて
- 越えて
- 活動
- NEW
- 後
- に対して
- すべて
- 間で
- および
- 誰も
- アプローチ
- 接近する
- AREA
- 主張する
- 周りに
- 組み立て
- 資産
- 関連する
- 攻撃
- 攻撃
- 自動化
- になる
- さ
- 有益な
- 恩恵
- 利点
- BEST
- ベストプラクティス
- より良いです
- 二人
- ビル
- 広い
- 建物
- 構築します
- ビジネス
- コール
- これ
- カタログ
- チェーン
- チーフ
- コード
- 環境、テクノロジーを推奨
- コラボレーション
- 集団
- 到来
- 委員会
- コミュニケーション
- コミュニティ
- 複雑さ
- コンポーネント
- 講演
- 議会
- デメリット
- 続ける
- 継続します
- コントロール
- controls
- コスト
- 可能性
- 作成します。
- 作成
- 重大な
- サイバーセキュリティ
- サイクル
- 決定
- 深いです
- より深い
- 配達
- 需要
- 展開
- 設計
- 開発者
- 開発
- 直接に
- 取締役
- 議論
- ドリブン
- 間に
- エコシステム
- 努力
- 奨励する
- エンドポイント
- エンドポイントのセキュリティ
- 確保する
- 全体
- 見積もり
- あらゆる
- 誰も
- すべてのもの
- 進化
- 例
- エグゼクティブ
- エクスペリエンス
- 名
- フォーカス
- フォーブス
- フレームワーク
- から
- 与えられた
- 目標
- 大きい
- 大いに
- グループの
- Hardware
- 助けました
- 認定条件
- HTTPS
- 巨大な
- 考え
- 影響
- 実装
- in
- 含ま
- 含めて
- 組み込む
- 増加した
- 信じられない
- 信じられないほど
- 産業を変えます
- 情報
- 情報セキュリティー
- 情報に基づく
- 革新的手法
- 統合する
- インベストメント
- 問題
- IT
- ジェニファー
- キー
- 大
- つながる
- リード
- レベル
- 生活
- ライフサイクル
- たくさん
- 製
- 維持する
- make
- 管理
- 操作
- 多くの
- 市場
- 材料
- メンバー
- メンバー
- 単に
- かもしれない
- 心
- 軽減する
- モダン
- 他には?
- 最も
- 運動
- ナチュラル
- ほぼ
- 必要
- 新作
- ニスト
- オファー
- 役員
- ONE
- 開いた
- オープンソース
- 意見
- 組織
- オッス
- 全体
- 自分の
- 部
- のワークプ
- パイプライン
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- ポイント
- ポリシー
- 政策立案
- 人気
- 正の
- プラクティス
- 前に
- 問題
- プロセス
- ラボレーション
- 専門家
- 演奏曲目
- 約束
- 有望
- 守る
- 提供します
- 置きます
- 急速な
- RE
- 現実の世界
- 電話代などの費用を削減
- 関係なく
- 依存
- 残っている
- レポート
- リソース
- 応答
- 結果
- リスク
- 職種
- RSA
- 再会
- ラン
- 言う
- 規模
- 得点
- シーズン
- セクター
- 安全に
- 確保する
- セキュリティ
- と思われる
- シニア
- シェアする
- シフト
- 重要
- サイズ
- 小さい
- Snapshot
- So
- ソフトウェア
- ソフトウェア開発
- ソース
- ソースコード
- スピード
- 過ごす
- スタック
- ステージ
- 起動
- 提出
- そのような
- 供給
- サプライチェーン
- サポート
- 表面
- 取り
- 会話
- ターゲット
- 対象となります
- ターゲット
- チーム
- テクノロジー
- test
- 世界
- アプリ環境に合わせて
- 考え
- 今年
- 脅威
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 今日
- 一緒に
- 豊富なツール群
- トピック
- 追跡する
- 牽引力
- 透明性
- トレンド
- 信頼
- 遍在する
- わかる
- つかいます
- 村
- 視認性
- 脆弱性
- 方法
- この試験は
- かどうか
- which
- 全体
- 広範囲
- 意志
- 仕事
- ワーキング
- 世界
- 書きます
- 書かれた
- 年
- ゼファーネット