Modern programvara: Vad finns egentligen inuti?

När cybersäkerhetsbranschen närmar sig konferenssäsongen är det otroligt att se medlemmar i samhället som är ivriga att dela med sig av sina erfarenheter. Man skulle kunna hävda att processen för uppmaning till talare ger en djup och bred ögonblicksbild av vad som finns i de kollektiva sinnena i hela ekosystemet för cybersäkerhet. Ett av de mest spännande diskussionsämnena som observerats i årets "RSAC 2023 Call for Submissions Trends Report” var i och kring öppen källkod, som har blivit mer allmänt förekommande och mindre siled än tidigare observerats. Modern mjukvara har förändrats, och med den följer löften och faror.

Skriver någon sin egen programvara längre?

Det är inte överraskande att cybersäkerhetsproffs ägnar mycket tid åt att prata om programvara – hur den monteras, testas, distribueras och korrigeras. Programvara har en betydande inverkan på alla företag, oavsett storlek eller sektor. Teams och praxis har utvecklats i takt med att skalan och komplexiteten har ökat. Som ett resultat av detta, "monteras modern programvara mer än den skrivs", säger Jennifer Czaplewski, senior director på Target, där hon leder DevSecOps och slutpunktssäkerhet; hon är också medlem i RSA-konferensens programkommitté. Det är inte bara en åsikt. Uppskattningar av hur mycket mjukvara i branschen som innehåller komponenter med öppen källkod – kod som är direkt inriktad på små och stora attacker – varierar från 70 % till nästan 100 %, skapa en enorm, skiftande attackyta att skydda, och ett kritiskt fokusområde för allas leveranskedja.

Montering av kod skapar utbredda beroenden - och transitiva beroenden - som naturliga artefakter. Dessa beroenden är mycket djupare än den faktiska koden, och teamen som införlivar den behöver också bättre förstå de processer som används för att köra, testa och underhålla den.

Nästan alla organisationer idag har ett oundvikligt beroende av öppen källkod, vilket har drivit efterfrågan på bättre sätt att bedöma risker, kataloganvändning, spåra påverkan och fatta välgrundade beslut före, under och efter inkorporering av öppen källkodskomponenter i mjukvarustackar.

Bygga förtroende och komponenter för framgång

Öppen källkod är inte bara ett tekniskt problem. Eller ett processproblem. Eller en folkfråga. Det sträcker sig verkligen över allt, och utvecklare, informationssäkerhetschefer (CISO) och beslutsfattare spelar alla en roll. Transparens, samarbete och kommunikation mellan alla dessa grupper är nyckeln till att bygga upp kritiskt förtroende.

En fokuspunkt för att bygga upp förtroende är mjukvaruförteckningen (SBOM), som växte i popularitet efter President Bidens verkställande order från maj 2021. Vi börjar se konkreta observationer av kvantifierbara fördelar från implementeringen, inklusive kontroll och synlighet av tillgångar, snabbare svarstider på sårbarheter och överlag bättre hantering av mjukvarans livscykel. SBOM:s dragkraft verkar ha gett upphov till ytterligare stycklistor, bland dem DBOM (data), HBOM (hårdvara), PBOM (pipeline) och CBOM (cybersäkerhet). Tiden får utvisa om fördelarna uppväger den tunga omsorgsplikten som åläggs utvecklarna, men många är hoppfulla att BOM-rörelsen kan leda till ett enhetligt sätt att tänka på och närma sig ett problem.

Ytterligare policyer och samarbeten, inklusive lagen om säker programvara med öppen källkod, Supply chain Levels for Software Artifacts (SLSA) ramverkoch NIST:s Secure Software Development Framework (SSDF), verkar uppmuntra de metoder som har gjort öppen källkod så överallt – det kollektiva samhället arbetar tillsammans med målet att säkerställa en säker leveranskedja för programvara som standard.

Det uppenbara fokuset på "nackdelarna" kring öppen källkod och manipulation, attacker och inriktning av den har gett upphov till nya ansträngningar för att minska associerade risker, både med utvecklingsprocesser och rapporter, såväl som teknik. Investeringar görs för att undvika intag av skadliga komponenter i första hand. Denna introspektion och verkliga lärdomar kring mjukvaruutveckling, mjukvaruutvecklingslivscykel (SDLC) och försörjningskedjan som helhet är oerhört fördelaktiga för samhället i detta skede.

Faktum är att öppen källkod kan ha stor nytta ... öppen källkod! Utvecklare förlitar sig på verktyg med öppen källkod för att integrera kritiska säkerhetskontroller som en del av kontinuerlig integration/kontinuerlig leverans (CI/CD) pipeline. Fortsatta ansträngningar för att tillhandahålla resurser, såsom OpenSSF styrkort, med sitt löfte om automatisk poängsättning, och Open Source Software (OSS) Secure Supply Chain (SSC) Framework, ett konsumtionsfokuserat ramverk designat för att skydda utvecklare mot verkliga OSS-hot i leveranskedjan, är bara två exempel på lovande aktiviteter som kommer att stödja team när de sätter ihop programvara.

Starkare Tillsammans

Öppen källkod har och kommer att fortsätta ändra mjukvaruspelet. Det har påverkat hur världen bygger mjukvara. Det har hjälpt till att snabba upp tiden till marknaden. Det har stimulerat innovation och minskat utvecklingskostnaderna. Förmodligen har det haft en positiv inverkan på säkerheten, men arbete återstår att göra. Och att bygga en säkrare värld kräver en by som samlas för att dela idéer och bästa praxis med det större samhället.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-