Moderne programvare: Hva er egentlig inni?

Når cybersikkerhetsindustrien nærmer seg konferansesesongen, er det utrolig å se medlemmer av samfunnet som er ivrige etter å dele sine erfaringer. Man kan hevde at prosessen med oppfordring til foredragsholdere gir et dypt og bredt øyeblikksbilde av hva som er på det kollektive sinnet til hele økosystemet for cybersikkerhet. Et av de mest spennende diskusjonstemaene observert i årets «RSAC 2023 Call for Submissions Trend Report” var i og rundt åpen kildekode, som har blitt mer allestedsnærværende og mindre siled enn tidligere observert. Moderne programvare har endret seg, og med det følger løfter og farer.

Er det noen som skriver sin egen programvare lenger?

Ikke overraskende bruker cybersikkerhetsfagfolk mye tid på å snakke om programvare – hvordan den er satt sammen, testet, distribuert og lappet. Programvare har en betydelig innvirkning på enhver virksomhet, uavhengig av størrelse eller sektor. Teams og praksis har utviklet seg etter hvert som omfang og kompleksitet har økt. Som et resultat blir "Moderne programvare satt sammen mer enn det blir skrevet," sier Jennifer Czaplewski, seniordirektør i Target, hvor hun leder DevSecOps og endepunktsikkerhet; hun er også medlem av RSA-konferansens programkomité. Det er ikke bare en mening. Estimater av hvor mye programvare på tvers av industrien som inkluderer åpen kildekodekomponenter – kode som er direkte målrettet i små og store angrep – varierer fra 70 % til nesten 100 %, skaper en enorm, skiftende angrepsoverflate for å beskytte, og et kritisk fokusområde for alles forsyningskjede.

Samling av kode skaper utbredte avhengigheter - og transitive avhengigheter - som naturlige artefakter. Disse avhengighetene er langt dypere enn den faktiske koden, og teamene som inkorporerer den, må også bedre forstå prosessene som brukes til å kjøre, teste og vedlikeholde den.

Nesten alle organisasjoner i dag har en uunngåelig avhengighet av åpen kildekode, noe som har drevet etterspørselen etter bedre måter å vurdere risiko, katalogbruk, spore innvirkning og ta informerte beslutninger før, under og etter inkorporering av åpen kildekodekomponenter i programvarestabler.

Bygge tillit og komponenter for suksess

Åpen kildekode er ikke bare et teknologiproblem. Eller et prosessproblem. Eller et folkeproblem. Det strekker seg virkelig over alt, og utviklere, informasjonssikkerhetssjefer (CISOer) og beslutningstakere spiller alle en rolle. Åpenhet, samarbeid og kommunikasjon på tvers av alle disse gruppene er nøkkelen til å bygge kritisk tillit.

Et fokuspunkt for tillitsbygging er programvarelisten (SBOM), som vokste i popularitet etterpå President Bidens eksekutivordre fra mai 2021. Vi begynner å se konkrete observasjoner av kvantifiserbare fordeler ved implementeringen, inkludert kontroll og synlighet av eiendeler, raskere responstider på sårbarheter og generelt bedre programvarelivssyklusadministrasjon. SBOMs trekkraft ser ut til å ha skapt flere stykklister, blant dem DBOM (data), HBOM (maskinvare), PBOM (pipeline) og CBOM (cybersikkerhet). Tiden vil vise om fordelene oppveier den tunge omsorgsplikten utviklere har, men mange håper at BOM-bevegelsen kan føre til en enhetlig måte å tenke på og tilnærme seg et problem.

Ytterligere retningslinjer og samarbeid, inkludert loven om sikring av åpen kildekode-programvare, Supply chain Levels for Software Artifacts (SLSA) rammeverkog NISTs Secure Software Development Framework (SSDF), ser ut til å oppmuntre til praksisene som har gjort åpen kildekode så allestedsnærværende – det kollektive fellesskapet arbeider sammen med et mål om å sikre en sikker-ved-standard programvareforsyningskjede.

Det åpenlyse fokuset på "ulemper" rundt åpen kildekode og manipulasjon, angrep og målretting av den har gitt opphav til nye anstrengelser for å redusere tilhørende risiko, både med utviklingsprosesser og rapporter, så vel som teknologi. Det gjøres investeringer for å unngå inntak av skadelige komponenter i utgangspunktet. Denne introspeksjonen og den virkelige læringen rundt programvareutvikling, programvareutviklings livssyklus (SDLC) og forsyningskjeden som helhet er utrolig fordelaktig for samfunnet på dette stadiet.

Faktisk kan åpen kildekode ha stor nytte ... åpen kildekode! Utviklere er avhengige av åpen kildekode-verktøy for å integrere kritiske sikkerhetskontroller som en del av kontinuerlig integrasjon/kontinuerlig levering (CI/CD) rørledning. Fortsatt innsats for å skaffe ressurser, for eksempel OpenSSF scorekort, med løftet om automatisert scoring, og Open Source Software (OSS) Secure Supply Chain (SSC) Framework, et forbruksfokusert rammeverk designet for å beskytte utviklere mot trusler fra den virkelige OSS-forsyningskjeden, er bare to eksempler på lovende aktiviteter som vil støtte team når de setter sammen programvare.

Sterkere sammen

Åpen kildekode har og vil fortsette med det endre programvarespillet. Det har påvirket måten verden bygger programvare på. Det har bidratt til å fremskynde tiden til markedet. Det har stimulert innovasjon og redusert utviklingskostnader. Uten tvil har det hatt en positiv innvirkning på sikkerheten, men det gjenstår arbeid. Og å bygge en sikrere verden krever at en landsby samles for å dele ideer og beste praksis med det større fellesskapet.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-