Software modern: ce este cu adevărat înăuntru?

Pe măsură ce industria securității cibernetice se apropie de sezonul conferințelor, este incredibil să vezi membri ai comunității dornici să-și împărtășească experiențele. S-ar putea argumenta că procesul de apel pentru vorbitori oferă o imagine profundă și amplă a ceea ce se află în mintea colectivă a întregului ecosistem de securitate cibernetică. Unul dintre cele mai interesante subiecte de discuție observate în acest an „Raportul tendințelor RSAC 2023 pentru cereri de depunere” a fost în și în jurul open source, care a devenit mai omniprezent și mai puțin izolat decât s-a observat anterior. Software-ul modern s-a schimbat și odată cu el vin promisiunea și pericolele.

Mai scrie cineva propriul software?

Nu este surprinzător că profesioniștii în securitate cibernetică petrec mult timp vorbind despre software - cum este asamblat, testat, implementat și corectat. Software-ul are un impact semnificativ asupra fiecărei afaceri, indiferent de dimensiune sau sector. Tmijloacele și practicile au evoluat pe măsură ce amploarea și complexitatea au crescut. Drept urmare, „Software-ul modern este asamblat mai mult decât este scris”, spune Jennifer Czaplewski, director senior la Target, unde conduce DevSecOps și securitatea punctelor terminale; ea este, de asemenea, membru al comitetului de program al Conferinței RSA. Asta nu este doar o opinie. Estimări ale cât de mult software din industrie include componente open source — cod care este direct vizat în atacuri mici și mari — variază de la 70% la aproape 100%, creând o suprafață de atac imensă și schimbătoare de protejat și o zonă critică de focalizare pentru lanțul de aprovizionare al tuturor.

Asamblarea codului creează dependențe larg răspândite - și dependențe tranzitive - ca artefacte naturale. Aceste dependențe sunt mult mai profunde decât codul real, iar echipele care îl încorporează trebuie, de asemenea, să înțeleagă mai bine procesele utilizate pentru rularea, testarea și întreținerea acestuia.

Aproape fiecare organizație se bazează în mod inevitabil pe codul open source, ceea ce a determinat cererea de modalități mai bune de a evalua riscul, utilizarea catalogului, urmărirea impactului și luarea deciziilor informate înainte, în timpul și după încorporarea componentelor open source în stivele de software.

Construirea încrederii și componentele succesului

Sursa deschisă nu este doar o problemă de tehnologie. Sau o problemă de proces. Sau o problemă de oameni. Se întinde într-adevăr peste tot, iar dezvoltatorii, ofițerii șefi de securitate a informațiilor (CISO) și factorii de decizie politică joacă toți un rol. Transparența, colaborarea și comunicarea în toate aceste grupuri sunt esențiale pentru construirea încrederii critice.

Un punct focal pentru construirea încrederii este lista de materiale software (SBOM), care a crescut în popularitate după Ordinul executiv al președintelui Biden din mai 2021. Începem să vedem observații tangibile ale beneficiilor cuantificabile din implementarea sa, inclusiv controlul și vizibilitatea activelor, timpi de răspuns mai rapid la vulnerabilități și o gestionare generală mai bună a ciclului de viață al software-ului. Tracțiunea SBOM pare să fi generat BOM-uri suplimentare, printre care DBOM (data), HBOM (hardware), PBOM (conductă) și CBOM (securitate cibernetică). Timpul va spune dacă beneficiile depășesc sarcina grea de îngrijire impusă dezvoltatorilor, dar mulți speră că mișcarea BOM ar putea duce la un mod uniform de a gândi și aborda o problemă.

Politici și colaborări suplimentare, inclusiv Legea privind securizarea software-ului cu sursă deschisă, Cadrul de niveluri ale lanțului de aprovizionare pentru artefacte software (SLSA)., și Cadrul de dezvoltare software securizat (SSDF) al NIST, par să încurajeze practicile care au făcut sursa deschisă atât de omniprezentă - comunitatea colectivă care lucrează împreună cu scopul de a asigura un lanț de aprovizionare software securizat implicit.

Concentrarea deschisă asupra „contra” din jurul codului open source și manipulării, atacurilor și țintirii acestuia a dat naștere la noi eforturi de atenuare a riscului asociat, atât cu procesele și rapoartele de dezvoltare, cât și cu tehnologia. Se fac investiții pentru a evita ingerarea componentelor rău intenționate în primul rând. Această introspecție și învățările din viața reală despre dezvoltarea software-ului, ciclul de viață al dezvoltării software (SDLC) și lanțul de aprovizionare în ansamblu sunt incredibil de benefice pentru comunitate în această etapă.

De fapt, open source poate beneficia foarte mult... open source! Dezvoltatorii se bazează pe instrumente open source pentru a integra controale de securitate critice ca parte a integrare continuă/livrare continuă (conductă CI/CD). Eforturile continue de a oferi resurse, cum ar fi Tabloul de scor OpenSSF, cu promisiunea sa de scor automatizat și Cadrul pentru lanțul de aprovizionare securizat (SSC) pentru software cu sursă deschisă (OSS)., un cadru axat pe consum, conceput pentru a proteja dezvoltatorii împotriva amenințărilor din lumea reală a lanțului de aprovizionare OSS, sunt doar două exemple de activități promițătoare care vor sprijini echipele pe măsură ce elaborează software.

Mai puternic împreună

Open source are și va continua schimba jocul software. A afectat modul în care lumea construiește software. A ajutat la accelerarea timpului de lansare pe piață. A stimulat inovația și a redus costurile de dezvoltare. Probabil că a avut un impact pozitiv asupra securității, dar mai rămâne de făcut. Și pentru a construi o lume mai sigură este nevoie ca un sat să se reunească pentru a împărtăși idei și bune practici cu comunitatea mai mare.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-