Software moderno: o que há realmente dentro?

À medida que a indústria de segurança cibernética se aproxima da temporada de conferências, é incrível ver os membros da comunidade ansiosos para compartilhar suas experiências. Pode-se argumentar que o processo de chamada para palestrantes oferece um instantâneo profundo e amplo do que está nas mentes coletivas de todo o ecossistema de segurança cibernética. Um dos tópicos de discussão mais intrigantes observados no “RSAC 2023 Call for Submissions Relatório de Tendências” estava dentro e ao redor do código aberto, que se tornou mais onipresente e menos isolado do que o observado anteriormente. O software moderno mudou e, com ele, vêm promessas e perigos.

Alguém ainda escreve seu próprio software?

Não é de surpreender que os profissionais de segurança cibernética passem muito tempo falando sobre software — como ele é montado, testado, implantado e corrigido. O software tem um impacto significativo em todos os negócios, independentemente do tamanho ou setor. Tequipes e práticas evoluíram à medida que a escala e a complexidade aumentaram. Como resultado, “o software moderno está sendo mais montado do que escrito”, diz Jennifer Czaplewski, diretora sênior da Target, onde ela lidera o DevSecOps e a segurança de terminais; ela também é membro do comitê do programa da RSA Conference. Isso não é apenas uma opinião. Estimativas de quanto software em todo o setor inclui componentes de código aberto – código que é diretamente direcionado a ataques pequenos e grandes – variam de 70% a quase 100%, criando uma superfície de ataque enorme e mutável para proteger e uma área crítica de foco para a cadeia de suprimentos de todos.

A montagem de código cria dependências generalizadas — e dependências transitivas — como artefatos naturais. Essas dependências são muito mais profundas do que o código real, e as equipes que o incorporam também precisam entender melhor os processos usados ​​para executá-lo, testá-lo e mantê-lo.

Quase toda organização hoje tem uma dependência inevitável do código-fonte aberto, o que gerou a demanda por melhores maneiras de avaliar riscos, catalogar o uso, rastrear o impacto e tomar decisões informadas antes, durante e depois de incorporar componentes de código-fonte aberto às pilhas de software.

Construindo Confiança e Componentes para o Sucesso

O código aberto não é apenas uma questão de tecnologia. Ou um problema de processo. Ou uma questão de pessoas. Ele realmente se estende a tudo, e desenvolvedores, diretores de segurança da informação (CISOs) e formuladores de políticas desempenham um papel importante. Transparência, colaboração e comunicação em todos esses grupos são essenciais para construir uma confiança crítica.

Um ponto focal para a construção de confiança é a lista de materiais de software (SBOM), que cresceu em popularidade após Ordem executiva do presidente Biden em maio de 2021. Estamos começando a ver observações tangíveis de benefícios quantificáveis ​​de sua implementação, incluindo controle e visibilidade de ativos, tempos de resposta mais rápidos a vulnerabilidades e melhor gerenciamento geral do ciclo de vida do software. A tração do SBOM parece ter gerado BOMs adicionais, entre eles DBOM (data), HBOM (hardware), PBOM (pipeline) e CBOM (segurança cibernética). O tempo dirá se os benefícios superam o pesado dever de cuidado colocado sobre os desenvolvedores, mas muitos estão esperançosos de que o movimento BOM possa levar a uma maneira uniforme de pensar e abordar um problema.

Políticas e colaborações adicionais, incluindo a Lei de Proteção de Software de Código Aberto, Estrutura de níveis da cadeia de suprimentos para artefatos de software (SLSA) e NIST's Secure Software Development Framework (SSDF), parecem encorajar as práticas que tornaram o código aberto tão onipresente - a comunidade coletiva trabalhando em conjunto com o objetivo de garantir uma cadeia de fornecimento de software segura por padrão.

O foco aberto nos “contras” em torno do código-fonte aberto e manipulação, ataques e direcionamento dele deu origem a novos esforços para mitigar o risco associado, tanto com processos e relatórios de desenvolvimento quanto com tecnologia. Investimentos estão sendo feitos para evitar a ingestão de componentes maliciosos em primeiro lugar. Essa introspecção e os aprendizados da vida real sobre o desenvolvimento de software, o ciclo de vida do desenvolvimento de software (SDLC) e a cadeia de suprimentos como um todo são incrivelmente benéficos para a comunidade nesse estágio.

Na verdade, o código aberto pode se beneficiar muito… código aberto! Os desenvolvedores contam com ferramentas de código aberto para integrar controles de segurança críticos como parte do integração contínua/entrega contínua (CI/CD). Esforços contínuos para fornecer recursos, como o Cartão de pontuação do OpenSSF, com sua promessa de pontuação automatizada, e o Software de Código Aberto (OSS) Estrutura de Cadeia de Fornecimento Segura (SSC), uma estrutura focada no consumo projetada para proteger os desenvolvedores contra ameaças da cadeia de suprimentos de OSS do mundo real, são apenas dois exemplos de atividades promissoras que darão suporte às equipes durante a montagem do software.

Mais fortes juntos

O código aberto tem e continuará a mudar o jogo de software. Isso afetou a maneira como o mundo constrói software. Isso ajudou a acelerar o tempo de lançamento no mercado. Estimulou a inovação e reduziu os custos de desenvolvimento. Indiscutivelmente, teve um impacto positivo na segurança, mas ainda há trabalho a ser feito. E construir um mundo mais seguro exige que uma vila se reúna para compartilhar ideias e práticas recomendadas com a comunidade como um todo.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-