Sodobna programska oprema: kaj je v resnici notri?

Ko se industrija kibernetske varnosti približuje sezoni konferenc, je neverjetno videti člane skupnosti, ki si želijo deliti svoje izkušnje. Lahko bi trdili, da postopek vabljenja govornikov ponuja globok in širok posnetek tega, kar je v kolektivnih glavah celotnega ekosistema kibernetske varnosti. Ena najbolj intrigantnih tem razprave v letošnjem “Poročilo o trendih v razpisu RSAC 2023” je bil v in okoli odprtokodne kode, ki je postala bolj vseprisotna in manj zakrita, kot je bilo prej opaženo. Sodobna programska oprema se je spremenila in z njo prihajajo obljube in nevarnosti.

Ali še kdo piše svojo programsko opremo?

Ni presenetljivo, da strokovnjaki za kibernetsko varnost porabijo veliko časa za pogovor o programski opremi – o tem, kako je sestavljena, preizkušena, nameščena in popravljena. Programska oprema ima pomemben vpliv na vsako podjetje, ne glede na velikost ali sektor. Tcilji in prakse so se razvili, ko sta se povečala obseg in kompleksnost. Posledično se »sodobna programska oprema bolj sestavlja, kot se piše,« pravi Jennifer Czaplewski, višja direktorica pri Targetu, kjer vodi DevSecOps in varnost končnih točk; je tudi članica programskega odbora konference RSA. To ni samo mnenje. Ocene, koliko programske opreme v industriji vključuje odprtokodne komponente – kodo, ki je neposredno tarča majhnih in velikih napadov – razpon od 70 % do skoraj 100 %, ki ustvarja ogromno, spreminjajočo se napadalno površino, ki jo je treba zaščititi, in kritično področje osredotočanja za vsakogar v dobavni verigi.

Sestavljanje kode ustvarja široko razširjene odvisnosti — in tranzitivne odvisnosti — kot naravne artefakte. Te odvisnosti so veliko globlje od dejanske kode in ekipe, ki jo vključujejo, morajo tudi bolje razumeti procese, ki se uporabljajo za njeno izvajanje, testiranje in vzdrževanje.

Skoraj vsaka današnja organizacija se neizogibno zanaša na odprtokodno kodo, kar je spodbudilo povpraševanje po boljših načinih ocenjevanja tveganja, uporabe kataloga, sledenja vplivom in sprejemanja premišljenih odločitev pred, med in po vključitvi odprtokodnih komponent v nize programske opreme.

Gradnja zaupanja in komponente za uspeh

Odprta koda ni le tehnološko vprašanje. Ali težava v procesu. Ali vprašanje ljudi. Resnično se razteza čez vse in razvijalci, glavni uradniki za informacijsko varnost (CISO) in oblikovalci politik imajo vsi svojo vlogo. Transparentnost, sodelovanje in komunikacija med vsemi temi skupinami so ključni za gradnjo kritičnega zaupanja.

Ena osrednja točka za vzpostavljanje zaupanja je seznam materialov programske opreme (SBOM), ki je po tem postal priljubljen Izvršni ukaz predsednika Bidna iz maja 2021. Začenjamo opažati oprijemljive opazke merljivih koristi njegove implementacije, vključno z nadzorom in vidnostjo sredstev, hitrejšimi odzivnimi časi na ranljivosti in splošnim boljšim upravljanjem življenjskega cikla programske opreme. Zdi se, da je oprijem SBOM ustvaril dodatne BOM, med njimi DBOM (podatki), HBOM (strojna oprema), PBOM (cevovod) in CBOM (kibernetska varnost). Čas bo pokazal, ali koristi odtehtajo zahtevno skrbnost razvijalcev, vendar mnogi upajo, da bi lahko gibanje BOM vodilo do enotnega načina razmišljanja in pristopa k problemu.

Dodatne politike in sodelovanja, vključno z Zakon o varovanju odprtokodne programske opreme, Ogrodje ravni dobavne verige za artefakte programske opreme (SLSA).in Varno ogrodje za razvoj programske opreme NIST (SSDF), se zdi, da spodbujajo prakse, zaradi katerih je odprta koda tako vseprisotna – kolektivna skupnost, ki sodeluje s ciljem zagotoviti varno privzeto dobavno verigo programske opreme.

Odkrita osredotočenost na »slabosti« odprtokodne kode ter manipulacije, napade in ciljanje le-te je rodila nova prizadevanja za ublažitev s tem povezanega tveganja, tako z razvojnimi procesi in poročili kot tudi s tehnologijo. Naložbe so namenjene izogibanju zaužitju zlonamernih komponent. Ta introspekcija in učenje iz resničnega življenja o razvoju programske opreme, življenjskem ciklu razvoja programske opreme (SDLC) in dobavni verigi kot celoti so na tej stopnji izjemno koristni za skupnost.

Pravzaprav lahko odprta koda zelo koristi ... odprta koda! Razvijalci se zanašajo na odprtokodna orodja za integracijo kritičnih varnostnih kontrol kot del stalna integracija/neprekinjena dostava (CI/CD). Nadaljnja prizadevanja za zagotavljanje virov, kot je OpenSSF kazalnik, z obljubo avtomatiziranega točkovanja in Ogrodje varne dobavne verige (SSC) odprtokodne programske opreme (OSS)., ogrodje, osredotočeno na potrošnjo, zasnovano za zaščito razvijalcev pred grožnjami dobavne verige OSS v resničnem svetu, sta le dva primera obetavnih dejavnosti, ki bodo podpirale ekipe pri sestavljanju programske opreme.

Močnejša skupaj

Odprtokodnost je in bo še naprej spremenite programsko igro. Vplivalo je na način, kako svet gradi programsko opremo. Pomagal je pospešiti čas do trga. Spodbudila je inovacije in zmanjšala stroške razvoja. Verjetno je imelo pozitiven vpliv na varnost, vendar je treba še delati. Za gradnjo varnejšega sveta je potrebna vas, ki se zbere, da bi delila ideje in najboljše prakse s širšo skupnostjo.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-