Ponieważ branża cyberbezpieczeństwa zbliża się do sezonu konferencji, niewiarygodne jest to, że członkowie społeczności chętnie dzielą się swoimi doświadczeniami. Można argumentować, że proces wezwania prelegentów zapewnia dogłębny i szeroki obraz tego, co jest w zbiorowych umysłach całego ekosystemu cyberbezpieczeństwa. Jeden z najciekawszych tematów dyskusji obserwowanych w tegorocznej edycji „RSAC 2023 Raport dotyczący trendów w zaproszeniu do składania wniosków” było w środowisku open source i wokół niego, które stało się bardziej wszechobecne i mniej wyciszone niż wcześniej obserwowano. Nowoczesne oprogramowanie uległo zmianie, a wraz z nim pojawiają się obietnice i zagrożenia.
Czy ktoś już pisze własne oprogramowanie?
Nic dziwnego, że specjaliści ds. cyberbezpieczeństwa spędzają dużo czasu na rozmowach o oprogramowaniu — o tym, jak jest składane, testowane, wdrażane i łatane. Oprogramowanie ma znaczący wpływ na każdą firmę, niezależnie od wielkości czy branży. TWraz ze wzrostem skali i złożoności ewoluowały ewaluacje i praktyki. W rezultacie „nowoczesne oprogramowanie jest częściej składane niż pisane” — mówi Jennifer Czaplewski, starszy dyrektor w Target, gdzie kieruje DevSecOps i bezpieczeństwem punktów końcowych; jest także członkiem komitetu programowego Konferencji RSA. To nie jest tylko opinia. Szacunki dotyczące tego, ile oprogramowania w całej branży zawiera komponenty open source — kod, który jest bezpośrednio celem małych i dużych ataków — wahają się od 70% do prawie 100%, tworząc ogromną, zmieniającą się powierzchnię ataku, którą należy chronić, oraz krytyczny obszar zainteresowania dla każdego łańcucha dostaw.
Asembler kodu tworzy rozległe zależności — i zależności przechodnie — jako naturalne artefakty. Zależności te są znacznie głębsze niż rzeczywisty kod, a zespoły, które go włączają, muszą również lepiej zrozumieć procesy używane do jego uruchamiania, testowania i utrzymywania.
Prawie każda organizacja jest dziś nieunikniona polegając na otwartym kodzie źródłowym, co napędza zapotrzebowanie na lepsze sposoby oceny ryzyka, wykorzystania katalogu, śledzenia wpływu i podejmowania świadomych decyzji przed, w trakcie i po włączeniu komponentów open source do stosów oprogramowania.
Budowanie zaufania i składniki sukcesu
Open source to nie tylko kwestia technologii. Albo kwestia procesu. Albo kwestia ludzi. To naprawdę rozciąga się na wszystko, a programiści, dyrektorzy ds. Bezpieczeństwa informacji (CISO) i decydenci odgrywają pewną rolę. Przejrzystość, współpraca i komunikacja we wszystkich tych grupach są kluczem do budowania krytycznego zaufania.
Jednym z głównych punktów budowania zaufania jest zestawienie materiałów oprogramowania (SBOM), które zyskało później na popularności Rozporządzenie prezydenta Bidena z maja 2021 r. Zaczynamy dostrzegać namacalne obserwacje wymiernych korzyści z jego wdrożenia, w tym kontrolę i widoczność zasobów, szybsze czasy reakcji na luki i ogólnie lepsze zarządzanie cyklem życia oprogramowania. Wydaje się, że trakcja SBOM zrodziła dodatkowe BOM-y, wśród nich DBOM (data), HBOM (sprzęt), PBOM (rurociąg) i CBOM (cyberbezpieczeństwo). Czas pokaże, czy korzyści przeważą nad dużym obowiązkiem opieki nałożonym na programistów, ale wielu ma nadzieję, że ruch BOM może doprowadzić do jednolitego sposobu myślenia o problemie i podejścia do niego.
Dodatkowe zasady i współpraca, w tym ustawa o zabezpieczaniu otwartego oprogramowania, Poziomy łańcucha dostaw dla struktury artefaktów oprogramowania (SLSA)., Bezpieczne środowisko programistyczne NIST (SSDF), wydają się zachęcać do praktyk, które sprawiły, że open source stało się tak wszechobecne — zbiorowa społeczność współpracująca w celu zapewnienia domyślnie bezpiecznego łańcucha dostaw oprogramowania.
Otwarte skupienie się na „minusach” związanych z otwartym kodem źródłowym oraz manipulacjami, atakami i ukierunkowaniem na niego zaowocowało nowymi wysiłkami mającymi na celu ograniczenie związanego z tym ryzyka, zarówno w procesach programistycznych i raportach, jak i technologii. Inwestycje są podejmowane przede wszystkim w celu uniknięcia przyjmowania złośliwych komponentów. Ta introspekcja i praktyczne doświadczenia związane z tworzeniem oprogramowania, cyklem życia oprogramowania (SDLC) i całym łańcuchem dostaw są niezwykle korzystne dla społeczności na tym etapie.
W rzeczywistości open source może przynieść wiele korzyści… open source! Deweloperzy polegają na narzędziach open source do integracji krytycznych kontroli bezpieczeństwa w ramach ciągła integracja/ciągłe dostarczanie (potok CI/CD). Dalsze wysiłki w celu zapewnienia zasobów, takich jak Karta wyników OpenSSF, z obietnicą automatycznego oceniania, oraz Oprogramowanie Open Source (OSS) Framework bezpiecznego łańcucha dostaw (SSC)., zorientowana na konsumpcję platforma zaprojektowana w celu ochrony programistów przed rzeczywistymi zagrożeniami związanymi z łańcuchem dostaw OSS, to tylko dwa przykłady obiecujących działań, które będą wspierać zespoły podczas tworzenia oprogramowania.
Razem silniejsi
Otwarte oprogramowanie istniało i będzie istnieć zmienić oprogramowanie gry. Wpłynęło to na sposób, w jaki świat buduje oprogramowanie. Pomogło to skrócić czas wprowadzania produktu na rynek. Pobudziło to innowacyjność i obniżyło koszty rozwoju. Prawdopodobnie miało to pozytywny wpływ na bezpieczeństwo, ale pozostaje jeszcze wiele do zrobienia. A budowa bezpieczniejszego świata wymaga zjednoczenia wioski w celu dzielenia się pomysłami i najlepszymi praktykami z większą społecznością.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- O nas
- w poprzek
- zajęcia
- Dodatkowy
- Po
- przed
- Wszystkie kategorie
- wśród
- i
- ktoś
- awanse
- zbliżający się
- POWIERZCHNIA
- argumentować
- na około
- zmontowane
- Aktywa
- powiązany
- atakować
- Ataki
- zautomatyzowane
- stają się
- zanim
- jest
- korzystny
- korzyści
- Korzyści
- BEST
- Najlepsze praktyki
- Ulepsz Swój
- Biden
- Rachunek
- szeroki
- Budowanie
- Buduje
- biznes
- wezwanie
- który
- katalog
- łańcuch
- szef
- kod
- współpraca
- współpraca
- Collective
- przyjście
- komisja
- Komunikacja
- społeczność
- kompleksowość
- składniki
- Konferencja
- Kongres
- Wady
- kontynuować
- nadal
- kontrola
- kontroli
- Koszty:
- mógłby
- tworzy
- Tworzenie
- krytyczny
- Bezpieczeństwo cybernetyczne
- cykl
- Decyzje
- głęboko
- głębiej
- dostawa
- Kreowanie
- wdrażane
- zaprojektowany
- deweloperzy
- oprogramowania
- bezpośrednio
- Dyrektor
- dyskusja
- napędzany
- podczas
- Ekosystem
- starania
- zachęcać
- Punkt końcowy
- Bezpieczeństwo punktu końcowego
- zapewnienie
- Cały
- Szacunki
- Każdy
- wszyscy
- wszystko
- ewoluowały
- przykłady
- wykonawczy
- Doświadczenia
- i terminów, a
- Skupiać
- Forbes
- Framework
- od
- dany
- cel
- większy
- bardzo
- Grupy
- sprzęt komputerowy
- pomógł
- W jaki sposób
- HTTPS
- olbrzymi
- pomysły
- Rezultat
- realizacja
- in
- obejmuje
- Włącznie z
- włączenie
- wzrosła
- niewiarygodny
- niewiarygodnie
- przemysł
- Informacja
- bezpieczeństwo informacji
- poinformowany
- Innowacja
- integrować
- Inwestycje
- problem
- IT
- Jennifer
- Klawisz
- duży
- prowadzić
- Wyprowadzenia
- poziomy
- życie
- koło życia
- Partia
- zrobiony
- utrzymać
- robić
- i konserwacjami
- Manipulacja
- wiele
- rynek
- materiały
- członek
- Użytkownicy
- jedynie
- może
- umysły
- Złagodzić
- Nowoczesne technologie
- jeszcze
- większość
- ruch
- Naturalny
- prawie
- Potrzebować
- Nowości
- nist
- Oferty
- Oficerowie
- ONE
- koncepcja
- open source
- Opinia
- organizacja
- Oss
- ogólny
- własny
- część
- Ludzie
- rurociąg
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- punkt
- polityka
- politycy
- popularność
- pozytywny
- praktyki
- poprzednio
- Problem
- wygląda tak
- procesów
- specjalistów
- Program
- obietnica
- obiecujący
- chronić
- zapewniać
- położyć
- szybki
- RE
- Prawdziwy świat
- Zredukowany
- Bez względu
- poleganie
- szczątki
- Raporty
- Zasoby
- odpowiedź
- dalsze
- Ryzyko
- Rola
- RSA
- rsakonferencja
- run
- mówią
- Skala
- punktacji
- Pora roku
- sektor
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- wydaje
- senior
- Share
- PRZESUNIĘCIE
- znaczący
- Rozmiar
- mały
- Migawka
- So
- Tworzenie
- rozwoju oprogramowania
- Źródło
- Kod źródłowy
- prędkość
- wydać
- Półki na książki
- STAGE
- Startowy
- Zgłoszenia
- taki
- Dostawa
- łańcuch dostaw
- wsparcie
- Powierzchnia
- trwa
- rozmawiać
- cel
- ukierunkowane
- kierowania
- Zespoły
- Technologia
- test
- Połączenia
- świat
- ich
- Myślący
- w tym roku
- zagrożenia
- czas
- czasy
- do
- już dziś
- razem
- narzędzia
- tematy
- śledzić
- trakcja
- Przezroczystość
- Trendy
- Zaufaj
- wszechobecny
- zrozumieć
- posługiwać się
- Wieś
- widoczność
- Luki w zabezpieczeniach
- sposoby
- Co
- czy
- który
- cały
- rozpowszechniony
- będzie
- Praca
- pracujący
- świat
- napisać
- napisany
- rok
- zefirnet