Nowoczesne oprogramowanie: co naprawdę jest w środku?

Ponieważ branża cyberbezpieczeństwa zbliża się do sezonu konferencji, niewiarygodne jest to, że członkowie społeczności chętnie dzielą się swoimi doświadczeniami. Można argumentować, że proces wezwania prelegentów zapewnia dogłębny i szeroki obraz tego, co jest w zbiorowych umysłach całego ekosystemu cyberbezpieczeństwa. Jeden z najciekawszych tematów dyskusji obserwowanych w tegorocznej edycji „RSAC 2023 Raport dotyczący trendów w zaproszeniu do składania wniosków” było w środowisku open source i wokół niego, które stało się bardziej wszechobecne i mniej wyciszone niż wcześniej obserwowano. Nowoczesne oprogramowanie uległo zmianie, a wraz z nim pojawiają się obietnice i zagrożenia.

Czy ktoś już pisze własne oprogramowanie?

Nic dziwnego, że specjaliści ds. cyberbezpieczeństwa spędzają dużo czasu na rozmowach o oprogramowaniu — o tym, jak jest składane, testowane, wdrażane i łatane. Oprogramowanie ma znaczący wpływ na każdą firmę, niezależnie od wielkości czy branży. TWraz ze wzrostem skali i złożoności ewoluowały ewaluacje i praktyki. W rezultacie „nowoczesne oprogramowanie jest częściej składane niż pisane” — mówi Jennifer Czaplewski, starszy dyrektor w Target, gdzie kieruje DevSecOps i bezpieczeństwem punktów końcowych; jest także członkiem komitetu programowego Konferencji RSA. To nie jest tylko opinia. Szacunki dotyczące tego, ile oprogramowania w całej branży zawiera komponenty open source — kod, który jest bezpośrednio celem małych i dużych ataków — wahają się od 70% do prawie 100%, tworząc ogromną, zmieniającą się powierzchnię ataku, którą należy chronić, oraz krytyczny obszar zainteresowania dla każdego łańcucha dostaw.

Asembler kodu tworzy rozległe zależności — i zależności przechodnie — jako naturalne artefakty. Zależności te są znacznie głębsze niż rzeczywisty kod, a zespoły, które go włączają, muszą również lepiej zrozumieć procesy używane do jego uruchamiania, testowania i utrzymywania.

Prawie każda organizacja jest dziś nieunikniona polegając na otwartym kodzie źródłowym, co napędza zapotrzebowanie na lepsze sposoby oceny ryzyka, wykorzystania katalogu, śledzenia wpływu i podejmowania świadomych decyzji przed, w trakcie i po włączeniu komponentów open source do stosów oprogramowania.

Budowanie zaufania i składniki sukcesu

Open source to nie tylko kwestia technologii. Albo kwestia procesu. Albo kwestia ludzi. To naprawdę rozciąga się na wszystko, a programiści, dyrektorzy ds. Bezpieczeństwa informacji (CISO) i decydenci odgrywają pewną rolę. Przejrzystość, współpraca i komunikacja we wszystkich tych grupach są kluczem do budowania krytycznego zaufania.

Jednym z głównych punktów budowania zaufania jest zestawienie materiałów oprogramowania (SBOM), które zyskało później na popularności Rozporządzenie prezydenta Bidena z maja 2021 r. Zaczynamy dostrzegać namacalne obserwacje wymiernych korzyści z jego wdrożenia, w tym kontrolę i widoczność zasobów, szybsze czasy reakcji na luki i ogólnie lepsze zarządzanie cyklem życia oprogramowania. Wydaje się, że trakcja SBOM zrodziła dodatkowe BOM-y, wśród nich DBOM (data), HBOM (sprzęt), PBOM (rurociąg) i CBOM (cyberbezpieczeństwo). Czas pokaże, czy korzyści przeważą nad dużym obowiązkiem opieki nałożonym na programistów, ale wielu ma nadzieję, że ruch BOM może doprowadzić do jednolitego sposobu myślenia o problemie i podejścia do niego.

Dodatkowe zasady i współpraca, w tym ustawa o zabezpieczaniu otwartego oprogramowania, Poziomy łańcucha dostaw dla struktury artefaktów oprogramowania (SLSA)., Bezpieczne środowisko programistyczne NIST (SSDF), wydają się zachęcać do praktyk, które sprawiły, że open source stało się tak wszechobecne — zbiorowa społeczność współpracująca w celu zapewnienia domyślnie bezpiecznego łańcucha dostaw oprogramowania.

Otwarte skupienie się na „minusach” związanych z otwartym kodem źródłowym oraz manipulacjami, atakami i ukierunkowaniem na niego zaowocowało nowymi wysiłkami mającymi na celu ograniczenie związanego z tym ryzyka, zarówno w procesach programistycznych i raportach, jak i technologii. Inwestycje są podejmowane przede wszystkim w celu uniknięcia przyjmowania złośliwych komponentów. Ta introspekcja i praktyczne doświadczenia związane z tworzeniem oprogramowania, cyklem życia oprogramowania (SDLC) i całym łańcuchem dostaw są niezwykle korzystne dla społeczności na tym etapie.

W rzeczywistości open source może przynieść wiele korzyści… open source! Deweloperzy polegają na narzędziach open source do integracji krytycznych kontroli bezpieczeństwa w ramach ciągła integracja/ciągłe dostarczanie (potok CI/CD). Dalsze wysiłki w celu zapewnienia zasobów, takich jak Karta wyników OpenSSF, z obietnicą automatycznego oceniania, oraz Oprogramowanie Open Source (OSS) Framework bezpiecznego łańcucha dostaw (SSC)., zorientowana na konsumpcję platforma zaprojektowana w celu ochrony programistów przed rzeczywistymi zagrożeniami związanymi z łańcuchem dostaw OSS, to tylko dwa przykłady obiecujących działań, które będą wspierać zespoły podczas tworzenia oprogramowania.

Razem silniejsi

Otwarte oprogramowanie istniało i będzie istnieć zmienić oprogramowanie gry. Wpłynęło to na sposób, w jaki świat buduje oprogramowanie. Pomogło to skrócić czas wprowadzania produktu na rynek. Pobudziło to innowacyjność i obniżyło koszty rozwoju. Prawdopodobnie miało to pozytywny wpływ na bezpieczeństwo, ale pozostaje jeszcze wiele do zrobienia. A budowa bezpieczniejszego świata wymaga zjednoczenia wioski w celu dzielenia się pomysłami i najlepszymi praktykami z większą społecznością.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-