최신 소프트웨어: 실제로 내부에 무엇이 있습니까?

사이버 보안 산업이 컨퍼런스 시즌에 가까워짐에 따라 커뮤니티 구성원이 자신의 경험을 공유하기를 열망하는 것을 보는 것은 놀라운 일입니다. 누군가는 발언자 모집 프로세스가 전체 사이버 보안 생태계의 집단적 사고에 대한 깊고 광범위한 스냅샷을 제공한다고 주장할 수 있습니다. 올해의 "에서 관찰된 가장 흥미로운 토론 주제 중 하나RSAC 2023 제출 동향 보고서 요청”는 이전에 관찰된 것보다 더 유비쿼터스화되고 덜 고립된 오픈 소스 안팎에 있었습니다. 최신 소프트웨어는 변화했고 그에 따라 약속과 위험이 도래했습니다.

더 이상 자신의 소프트웨어를 작성하는 사람이 있습니까?

당연하게도 사이버 보안 전문가는 소프트웨어 조립, 테스트, 배포 및 패치 방법에 대해 이야기하는 데 많은 시간을 할애합니다. 소프트웨어는 규모나 부문에 관계없이 모든 비즈니스에 상당한 영향을 미칩니다. 티규모와 복잡성이 증가함에 따라 팀과 관행이 발전했습니다. 그 결과 "최신 소프트웨어는 작성되는 것보다 더 많이 조합되고 있습니다"라고 DevSecOps 및 엔드포인트 보안을 이끌고 있는 Target의 수석 이사인 Jennifer Czaplewski는 말합니다. 그녀는 또한 RSA 컨퍼런스 프로그램 위원회 위원이기도 합니다. 그것은 단순한 의견이 아닙니다. 업계 전반에 걸쳐 얼마나 많은 소프트웨어에 오픈 소스 구성 요소(작고 큰 공격의 직접적인 표적이 되는 코드)가 포함되어 있는지 추정 70%에서 거의 100%에 이르는 범위, 보호해야 할 거대하고 변화하는 공격 표면과 모든 사람의 공급망에 대한 중요한 초점 영역을 생성합니다.

코드 어셈블리는 자연스러운 아티팩트로 광범위한 종속성 및 전이적 종속성을 생성합니다. 이러한 종속성은 실제 코드보다 훨씬 깊으며 이를 통합하는 팀은 이를 실행, 테스트 및 유지 관리하는 데 사용되는 프로세스를 더 잘 이해해야 합니다.

오늘날 거의 모든 조직은 오픈 소스 코드에 대한 의존도를 피할 수 없으며, 이로 인해 오픈 소스 구성 요소를 소프트웨어 스택에 통합하기 전, 도중 및 후에 위험을 평가하고, 사용을 분류하고, 영향을 추적하고, 정보에 입각한 결정을 내리는 더 나은 방법에 대한 요구가 높아졌습니다.

신뢰 구축 및 성공을 위한 구성 요소

오픈소스는 단순한 기술 문제가 아닙니다. 또는 프로세스 문제. 또는 사람 문제. 이는 실제로 모든 것에 걸쳐 있으며 개발자, 최고 정보 보안 책임자(CISO) 및 정책 입안자 모두가 역할을 합니다. 이러한 모든 그룹 간의 투명성, 협업 및 커뮤니케이션은 중요한 신뢰를 구축하는 데 중요합니다.

신뢰 구축의 초점 중 하나는 소프트웨어 BOM(Bill of Materials)입니다. 바이든 대통령의 2021년 XNUMX월 행정명령. 우리는 자산의 제어 및 가시성, 취약성에 대한 보다 빠른 응답 시간, 전반적으로 개선된 소프트웨어 수명 주기 관리를 포함하여 구현에서 정량화할 수 있는 이점에 대한 가시적인 관찰을 보기 시작했습니다. SBOM의 견인력은 DBOM(데이터), HBOM(하드웨어), PBOM(파이프라인) 및 CBOM(사이버 보안). 시간이 지나면 그 혜택이 개발자에게 가해지는 과중한 주의 의무를 능가하는지 알 수 있지만, 많은 사람들은 BOM 운동이 문제에 대해 생각하고 접근하는 통일된 방식으로 이어질 수 있기를 희망합니다.

다음을 포함한 추가 정책 및 협력 오픈 소스 소프트웨어 보호법, SLSA(Software Artifacts) 프레임워크의 공급망 수준및 NIST의 보안 소프트웨어 개발 프레임워크(SSDF), 오픈 소스를 유비쿼터스로 만든 관행, 즉 기본적으로 안전한 소프트웨어 공급망을 보장한다는 목표를 가지고 함께 일하는 집단 커뮤니티를 장려하는 것 같습니다.

오픈 소스 코드와 그에 대한 조작, 공격 및 표적에 대한 "단점"에 대한 노골적인 초점은 기술뿐만 아니라 개발 프로세스 및 보고서와 관련된 위험을 완화하기 위한 새로운 노력을 탄생시켰습니다. 처음부터 악성 구성 요소를 섭취하지 않도록 투자가 이루어지고 있습니다. 소프트웨어 개발, 소프트웨어 개발 수명 주기(SDLC) 및 전체 공급망에 대한 이러한 성찰과 실제 학습은 이 단계에서 커뮤니티에 매우 유익합니다.

실제로 오픈 소스는 큰 이점을 얻을 수 있습니다. 오픈 소스! 개발자는 오픈 소스 도구를 사용하여 중요한 보안 제어를 통합의 일부로 통합합니다. 지속적인 통합/지속적인 제공(CI/CD) 파이프라인. 등의 자원을 제공하기 위한 지속적인 노력 OpenSSF 스코어카드, 자동 채점 약속과 함께 오픈 소스 소프트웨어(OSS) 보안 공급망(SSC) 프레임워크실제 OSS 공급망 위협으로부터 개발자를 보호하도록 설계된 소비 중심 프레임워크인 는 소프트웨어를 조립할 때 팀을 지원할 유망한 활동의 ​​두 가지 예일 뿐입니다.

함께 더 강해지 다

오픈소스는 앞으로도 계속 소프트웨어 게임을 바꾸다. 세계가 소프트웨어를 구축하는 방식에 영향을 미쳤습니다. 시장 출시 시간을 단축하는 데 도움이 되었습니다. 혁신을 촉진하고 개발 비용을 줄였습니다. 틀림없이 보안에 긍정적인 영향을 미쳤지만 아직 해결해야 할 작업이 남아 있습니다. 그리고 더 안전한 세상을 구축하려면 더 큰 커뮤니티와 아이디어와 모범 사례를 공유하기 위해 함께 모이는 마을이 필요합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-