Moderne software: wat zit er echt in?

Nu de cyberbeveiligingsindustrie het conferentieseizoen nadert, is het ongelooflijk om te zien dat leden van de gemeenschap graag hun ervaringen willen delen. Je zou kunnen stellen dat het call-for-speakers-proces een diepe en brede momentopname biedt van wat er in de collectieve hoofden van het hele cybersecurity-ecosysteem omgaat. Een van de meest intrigerende gespreksonderwerpen die dit jaar in de “RSAC 2023 Oproep tot indiening Trendrapport"was in en rond open source, dat alomtegenwoordiger en minder geïsoleerd is geworden dan eerder werd waargenomen. Moderne software is veranderd, en dat brengt belofte en gevaren met zich mee.

Schrijft iemand nog zijn eigen software?

Het is dan ook niet verrassend dat cyberbeveiligingsprofessionals veel tijd besteden aan het praten over software: hoe deze wordt samengesteld, getest, geïmplementeerd en gepatcht. Software heeft een grote impact op elk bedrijf, ongeacht de grootte of sector. TTeams en praktijken zijn geëvolueerd naarmate schaal en complexiteit zijn toegenomen. Als gevolg hiervan: "Moderne software wordt meer in elkaar gezet dan geschreven", zegt Jennifer Czaplewski, senior director bij Target, waar ze DevSecOps en eindpuntbeveiliging leidt; ze is ook lid van de programmacommissie van de RSA Conference. Dat is niet zomaar een mening. Schattingen van hoeveel software in de branche open source-componenten bevat — code die rechtstreeks het doelwit is van kleine en grote aanvallen — bereik van 70% tot bijna 100%, waardoor een enorm, verschuivend aanvalsoppervlak ontstaat om te beschermen, en een cruciaal aandachtsgebied voor ieders toeleveringsketen.

Assemblage van code creëert wijdverbreide afhankelijkheden - en transitieve afhankelijkheden - als natuurlijke artefacten. Deze afhankelijkheden zijn veel dieper dan de daadwerkelijke code, en de teams die deze code integreren, moeten ook de processen beter begrijpen die worden gebruikt om deze uit te voeren, te testen en te onderhouden.

Bijna elke organisatie vertrouwt tegenwoordig onvermijdelijk op open source-code, wat de vraag heeft gestimuleerd naar betere manieren om risico's te beoordelen, gebruik te catalogiseren, impact te volgen en weloverwogen beslissingen te nemen vóór, tijdens en na het opnemen van open source-componenten in softwarestacks.

Vertrouwen en componenten voor succes opbouwen

Open source is niet alleen een technologiekwestie. Of een procesprobleem. Of een mensenprobleem. Het strekt zich echt uit over alles, en ontwikkelaars, chief information security officers (CISO's) en beleidsmakers spelen allemaal een rol. Transparantie, samenwerking en communicatie tussen al deze groepen zijn de sleutel tot het opbouwen van kritisch vertrouwen.

Een centraal punt voor het opbouwen van vertrouwen is de software stuklijst (SBOM), die daarna in populariteit groeide Uitvoerend bevel van president Biden van mei 2021. We beginnen tastbare observaties te zien van kwantificeerbare voordelen van de implementatie, waaronder controle en zichtbaarheid van bedrijfsmiddelen, snellere reactietijden op kwetsbaarheden en algeheel beter beheer van de levenscyclus van software. De tractie van SBOM lijkt extra BOM's te hebben voortgebracht, waaronder DBOM (data), HBOM (hardware), PBOM (pijplijn) en CBOM (cyberbeveiliging). De tijd zal leren of de voordelen opwegen tegen de zware zorgplicht die op ontwikkelaars rust, maar velen hopen dat de BOM-beweging kan leiden tot een uniforme manier van denken over en het benaderen van een probleem.

Aanvullend beleid en samenwerkingen, waaronder de wet op het beveiligen van open source software, Supply chain Levels for Software Artifacts (SLSA) raamwerk en NIST's Secure Software Development Framework (SSDF), lijken de praktijken aan te moedigen die open source zo alomtegenwoordig hebben gemaakt: de collectieve gemeenschap die samenwerkt met als doel een standaard veilige softwaretoeleveringsketen te waarborgen.

De openlijke focus op de "nadelen" rond open source-code en manipulatie, aanvallen en doelgerichtheid ervan heeft geleid tot nieuwe pogingen om de bijbehorende risico's te beperken, zowel met ontwikkelingsprocessen en rapporten als met technologie. Er wordt geïnvesteerd om te voorkomen dat schadelijke componenten in de eerste plaats worden opgenomen. Deze introspectie en real-life lessen over softwareontwikkeling, de levenscyclus van softwareontwikkeling (SDLC) en de toeleveringsketen als geheel zijn in dit stadium ongelooflijk gunstig voor de gemeenschap.

In feite kan open source enorm profiteren … open source! Ontwikkelaars vertrouwen op open source-tools om kritieke beveiligingscontroles te integreren als onderdeel van de continue integratie/continue levering (CI/CD) pijplijn. Voortdurende inspanningen om middelen te verstrekken, zoals de OpenSSF-scorekaart, met zijn belofte van geautomatiseerde scores, en de Open source software (OSS) Secure Supply Chain (SSC) raamwerk, een op consumptie gericht raamwerk dat is ontworpen om ontwikkelaars te beschermen tegen reële bedreigingen voor de OSS-toeleveringsketen, zijn slechts twee voorbeelden van veelbelovende activiteiten die teams zullen ondersteunen bij het samenstellen van software.

Samen sterker

Open source heeft en zal dat blijven doen verander het softwarespel. Het heeft invloed gehad op de manier waarop de wereld software bouwt. Het heeft geholpen om de time-to-market te versnellen. Het heeft innovatie gestimuleerd en ontwikkelingskosten verlaagd. Het heeft ongetwijfeld een positieve invloed gehad op de beveiliging, maar er moet nog werk aan de winkel zijn. En om een ​​veiligere wereld te bouwen, moet een dorp samenkomen om ideeën en best practices te delen met de grotere gemeenschap.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-