Современное программное обеспечение: что на самом деле внутри?

Поскольку индустрия кибербезопасности приближается к сезону конференций, невероятно видеть членов сообщества, стремящихся поделиться своим опытом. Можно возразить, что процесс приглашения докладчиков предлагает глубокий и широкий снимок того, что находится в коллективных умах всей экосистемы кибербезопасности. Одна из самых интригующих тем обсуждения, наблюдаемых в этом году «Отчет RSAC 2023 о тенденциях подачи заявок” был в открытом исходном коде и вокруг него, который стал более повсеместным и менее разрозненным, чем наблюдалось ранее. Современное программное обеспечение изменилось, и вместе с ним появились и перспективы, и опасности.

Кто-нибудь пишет свое собственное программное обеспечение?

Неудивительно, что специалисты по кибербезопасности тратят много времени на разговоры о программном обеспечении — о том, как оно собирается, тестируется, развертывается и исправляется. Программное обеспечение оказывает значительное влияние на каждый бизнес, независимо от его размера или сектора. ТУмения и методы развивались по мере увеличения масштаба и сложности. В результате «Современное программное обеспечение больше собирается, чем пишется», — говорит Дженнифер Чаплевски, старший директор Target, где она возглавляет DevSecOps и безопасность конечных точек; она также является членом программного комитета конференции RSA. Это не просто мнение. Оценки того, сколько программного обеспечения в отрасли включает компоненты с открытым исходным кодом — код, который непосредственно предназначен для атак малого и крупного масштаба — колеблется от 70% до почти 100%, создавая огромную подвижную поверхность атаки для защиты и критически важную область для всех цепочек поставок.

Сборка кода создает широко распространенные зависимости — и транзитивные зависимости — как естественные артефакты. Эти зависимости намного глубже, чем реальный код, и командам, которые их внедряют, также необходимо лучше понимать процессы, используемые для его запуска, тестирования и обслуживания.

Почти каждая организация сегодня неизбежно зависит от открытого исходного кода, что привело к спросу на более эффективные способы оценки рисков, каталогизации использования, отслеживания воздействия и принятия обоснованных решений до, во время и после включения компонентов с открытым исходным кодом в программные стеки.

Укрепление доверия и компоненты успеха

Открытый исходный код — это не только технологическая проблема. Или проблема с процессом. Или проблема людей. Это действительно распространяется на все, и разработчики, директора по информационной безопасности (CISO) и политики играют свою роль. Прозрачность, совместная работа и общение во всех этих группах являются ключом к созданию критического доверия.

Одним из основных направлений укрепления доверия является спецификация программного обеспечения (SBOM), популярность которой возросла после Распоряжение президента Байдена от мая 2021 г.. Мы начинаем видеть ощутимые преимущества, поддающиеся количественной оценке, от его внедрения, включая контроль и видимость активов, более быстрое время реагирования на уязвимости и общее лучшее управление жизненным циклом программного обеспечения. Развитие SBOM, похоже, породило дополнительные спецификации, в том числе DBOM (данные), HBOM (аппаратное обеспечение), PBOM (конвейер) и CBOM (кибербезопасность). Время покажет, перевесят ли преимущества тяжелую обязанность разработчиков, но многие надеются, что движение BOM может привести к единому способу мышления и подхода к проблеме.

Дополнительные политики и сотрудничество, в том числе Закон о защите программного обеспечения с открытым исходным кодом, Структура уровней цепочки поставок для программных артефактов (SLSA)и Платформа безопасной разработки программного обеспечения NIST (SSDF), кажется, поощряет методы, которые сделали открытый исходный код таким повсеместным — коллективное сообщество, работающее вместе с целью обеспечения безопасной по умолчанию цепочки поставок программного обеспечения.

Открытое внимание к «минусам» открытого исходного кода и манипулированию, атакам и нацеливанию на него породило новые усилия по снижению связанных рисков, как с процессами разработки и отчетами, так и с технологиями. Инвестиции в первую очередь направлены на то, чтобы избежать приема вредоносных компонентов. Этот самоанализ и практические знания о разработке программного обеспечения, жизненном цикле разработки программного обеспечения (SDLC) и цепочке поставок в целом невероятно полезны для сообщества на данном этапе.

На самом деле открытый исходный код может принести большую пользу… открытый исходный код! Разработчики полагаются на инструменты с открытым исходным кодом для интеграции критических элементов управления безопасностью как части непрерывная интеграция/непрерывная поставка (конвейер CI/CD). Непрерывные усилия по предоставлению ресурсов, таких как Система показателей OpenSSFс его обещанием автоматического подсчета очков и Программное обеспечение с открытым исходным кодом (OSS) Безопасная цепочка поставок (SSC) Framework, ориентированная на потребление структура, предназначенная для защиты разработчиков от реальных угроз цепочки поставок OSS, — это всего лишь два примера многообещающих действий, которые будут поддерживать команды при сборке программного обеспечения.

Сильно вместе

Открытый исходный код был и будет изменить программное обеспечение игры. Это повлияло на то, как мир создает программное обеспечение. Это помогло ускорить время выхода на рынок. Это стимулировало инновации и снижало затраты на разработку. Возможно, это оказало положительное влияние на безопасность, но работа еще впереди. А для построения более безопасного мира требуется, чтобы деревня объединилась, чтобы поделиться идеями и передовым опытом с более широким сообществом.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-