Поскольку индустрия кибербезопасности приближается к сезону конференций, невероятно видеть членов сообщества, стремящихся поделиться своим опытом. Можно возразить, что процесс приглашения докладчиков предлагает глубокий и широкий снимок того, что находится в коллективных умах всей экосистемы кибербезопасности. Одна из самых интригующих тем обсуждения, наблюдаемых в этом году «Отчет RSAC 2023 о тенденциях подачи заявок” был в открытом исходном коде и вокруг него, который стал более повсеместным и менее разрозненным, чем наблюдалось ранее. Современное программное обеспечение изменилось, и вместе с ним появились и перспективы, и опасности.
Кто-нибудь пишет свое собственное программное обеспечение?
Неудивительно, что специалисты по кибербезопасности тратят много времени на разговоры о программном обеспечении — о том, как оно собирается, тестируется, развертывается и исправляется. Программное обеспечение оказывает значительное влияние на каждый бизнес, независимо от его размера или сектора. ТУмения и методы развивались по мере увеличения масштаба и сложности. В результате «Современное программное обеспечение больше собирается, чем пишется», — говорит Дженнифер Чаплевски, старший директор Target, где она возглавляет DevSecOps и безопасность конечных точек; она также является членом программного комитета конференции RSA. Это не просто мнение. Оценки того, сколько программного обеспечения в отрасли включает компоненты с открытым исходным кодом — код, который непосредственно предназначен для атак малого и крупного масштаба — колеблется от 70% до почти 100%, создавая огромную подвижную поверхность атаки для защиты и критически важную область для всех цепочек поставок.
Сборка кода создает широко распространенные зависимости — и транзитивные зависимости — как естественные артефакты. Эти зависимости намного глубже, чем реальный код, и командам, которые их внедряют, также необходимо лучше понимать процессы, используемые для его запуска, тестирования и обслуживания.
Почти каждая организация сегодня неизбежно зависит от открытого исходного кода, что привело к спросу на более эффективные способы оценки рисков, каталогизации использования, отслеживания воздействия и принятия обоснованных решений до, во время и после включения компонентов с открытым исходным кодом в программные стеки.
Укрепление доверия и компоненты успеха
Открытый исходный код — это не только технологическая проблема. Или проблема с процессом. Или проблема людей. Это действительно распространяется на все, и разработчики, директора по информационной безопасности (CISO) и политики играют свою роль. Прозрачность, совместная работа и общение во всех этих группах являются ключом к созданию критического доверия.
Одним из основных направлений укрепления доверия является спецификация программного обеспечения (SBOM), популярность которой возросла после Распоряжение президента Байдена от мая 2021 г.. Мы начинаем видеть ощутимые преимущества, поддающиеся количественной оценке, от его внедрения, включая контроль и видимость активов, более быстрое время реагирования на уязвимости и общее лучшее управление жизненным циклом программного обеспечения. Развитие SBOM, похоже, породило дополнительные спецификации, в том числе DBOM (данные), HBOM (аппаратное обеспечение), PBOM (конвейер) и CBOM (кибербезопасность). Время покажет, перевесят ли преимущества тяжелую обязанность разработчиков, но многие надеются, что движение BOM может привести к единому способу мышления и подхода к проблеме.
Дополнительные политики и сотрудничество, в том числе Закон о защите программного обеспечения с открытым исходным кодом, Структура уровней цепочки поставок для программных артефактов (SLSA)и Платформа безопасной разработки программного обеспечения NIST (SSDF), кажется, поощряет методы, которые сделали открытый исходный код таким повсеместным — коллективное сообщество, работающее вместе с целью обеспечения безопасной по умолчанию цепочки поставок программного обеспечения.
Открытое внимание к «минусам» открытого исходного кода и манипулированию, атакам и нацеливанию на него породило новые усилия по снижению связанных рисков, как с процессами разработки и отчетами, так и с технологиями. Инвестиции в первую очередь направлены на то, чтобы избежать приема вредоносных компонентов. Этот самоанализ и практические знания о разработке программного обеспечения, жизненном цикле разработки программного обеспечения (SDLC) и цепочке поставок в целом невероятно полезны для сообщества на данном этапе.
На самом деле открытый исходный код может принести большую пользу… открытый исходный код! Разработчики полагаются на инструменты с открытым исходным кодом для интеграции критических элементов управления безопасностью как части непрерывная интеграция/непрерывная поставка (конвейер CI/CD). Непрерывные усилия по предоставлению ресурсов, таких как Система показателей OpenSSFс его обещанием автоматического подсчета очков и Программное обеспечение с открытым исходным кодом (OSS) Безопасная цепочка поставок (SSC) Framework, ориентированная на потребление структура, предназначенная для защиты разработчиков от реальных угроз цепочки поставок OSS, — это всего лишь два примера многообещающих действий, которые будут поддерживать команды при сборке программного обеспечения.
Сильно вместе
Открытый исходный код был и будет изменить программное обеспечение игры. Это повлияло на то, как мир создает программное обеспечение. Это помогло ускорить время выхода на рынок. Это стимулировало инновации и снижало затраты на разработку. Возможно, это оказало положительное влияние на безопасность, но работа еще впереди. А для построения более безопасного мира требуется, чтобы деревня объединилась, чтобы поделиться идеями и передовым опытом с более широким сообществом.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- О нас
- через
- активно
- дополнительный
- После
- против
- Все
- среди
- и
- кто угодно
- подходы
- приближается
- ПЛОЩАДЬ
- спорить
- около
- собранный
- Активы
- связанный
- атаковать
- нападки
- Автоматизированный
- становиться
- до
- не являетесь
- полезный
- польза
- Преимущества
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- Биден
- Билл
- широкий
- Строительство
- строит
- бизнес
- призывают
- заботится
- каталог
- цепь
- главный
- код
- сотрудничество
- сотрудничество
- собирательный
- приход
- комитет
- Связь
- сообщество
- сложность
- компоненты
- Конференция
- Конгресс
- Минусы
- продолжать
- продолжающийся
- контроль
- контрольная
- Расходы
- может
- создает
- Создающий
- критической
- Информационная безопасность
- цикл
- решения
- глубоко
- более глубокий
- поставка
- Спрос
- развернуть
- предназначенный
- застройщиков
- Развитие
- непосредственно
- директор
- обсуждение
- управляемый
- в течение
- экосистема
- усилия
- поощрять
- Конечная точка
- Защита конечных точек
- обеспечение
- Весь
- Оценки
- Каждая
- все члены
- многое
- эволюционировали
- Примеры
- исполнительный
- Впечатления
- Во-первых,
- Фокус
- Forbes
- Рамки
- от
- данный
- цель
- большой
- значительно
- Группы
- Аппаратные средства
- помог
- Как
- HTTPS
- огромный
- идеи
- Влияние
- реализация
- in
- включает в себя
- В том числе
- включения
- расширились
- невероятный
- невероятно
- промышленность
- информация
- информационная безопасность
- сообщил
- Инновации
- интегрировать
- Вложения
- вопрос
- IT
- Дженнифер
- Основные
- большой
- вести
- Лиды
- уровни
- ЖИЗНЬЮ
- жизненный цикл
- серия
- сделанный
- поддерживать
- сделать
- управление
- Манипуляция
- многих
- рынок
- материалы
- член
- Участники
- просто
- может быть
- умов
- смягчать
- Модерн
- БОЛЕЕ
- самых
- движение
- натуральный
- почти
- Необходимость
- Новые
- NIST
- Предложения
- офицеров
- ONE
- открытый
- с открытым исходным кодом
- Обзор
- организация
- Oss
- общий
- собственный
- часть
- Люди
- трубопровод
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- Точка
- сборах
- политики
- популярность
- положительный
- практиками
- предварительно
- Проблема
- процесс
- Процессы
- профессионалы
- FitPartner™
- обещание
- многообещающий
- для защиты
- обеспечивать
- положил
- быстро
- RE
- реальный мир
- Цена снижена
- Несмотря на
- опора
- остатки
- Отчеты
- Полезные ресурсы
- ответ
- результат
- Снижение
- Роли
- RSA
- рсаконференция
- Run
- говорит
- Шкала
- счет
- Время года
- сектор
- безопасный
- обеспечение
- безопасность
- кажется
- старший
- Поделиться
- СДВИГАЯ
- значительный
- Размер
- небольшой
- Снимок
- So
- Software
- разработка программного обеспечения
- Источник
- исходный код
- скорость
- тратить
- Стеки
- Этап
- Начало
- Материалы
- такие
- поставка
- цепочками поставок
- поддержка
- Поверхность
- принимает
- говорить
- цель
- целевое
- направлены
- команды
- Технологии
- тестXNUMX
- Ассоциация
- мир
- их
- мышление
- В этом году
- угрозы
- время
- раз
- в
- сегодня
- вместе
- инструменты
- Темы
- трек
- тяга
- Прозрачность
- Тенденции
- Доверие
- вездесущий
- понимать
- использование
- Деревня
- видимость
- Уязвимости
- способы
- Что
- будь то
- который
- все
- широко распространена
- будете
- Работа
- работает
- Мир
- записывать
- письменный
- год
- зефирнет