ไอทีมักมีข้อแลกเปลี่ยนระหว่างการจัดส่งฟีเจอร์และฟังก์ชันการทำงานใหม่ๆ กับการชำระหนี้ด้านเทคนิค ซึ่งรวมถึงสิ่งต่างๆ เช่น ความน่าเชื่อถือ ประสิทธิภาพ การทดสอบ … และใช่ ความปลอดภัย
ในยุค “จัดส่งอย่างรวดเร็วและทำลายสิ่งของ” นี้ การสะสมหนี้ความปลอดภัยเป็นการตัดสินใจที่องค์กรต่างๆ สมัครใจทำ ทุกองค์กรมีงานด้านความปลอดภัยที่อัดแน่นอยู่ในงานค้างของ Jira สำหรับ "สักวันหนึ่ง" — สิ่งต่างๆ เช่น การปรับใช้แพตช์รักษาความปลอดภัยและการรันภาษาและเฟรมเวิร์กเวอร์ชันใหม่ล่าสุดที่เสถียรที่สุด การทำสิ่งที่ถูกต้องต้องใช้เวลา และทีมจงใจเลื่อนงานเหล่านี้ออกไป เนื่องจากพวกเขากำลังจัดลำดับความสำคัญของคุณสมบัติใหม่ งานส่วนใหญ่ของ CISO คือการตระหนักถึงช่วงเวลาที่ต้องจ่ายหนี้หลักทรัพย์
สิ่งหนึ่งที่ทำให้ การใช้ประโยชน์จาก Log4j สิ่งที่น่าตกใจสำหรับ CISO คือการตระหนักว่ามีหนี้สะสมจำนวนมหาศาลซึ่งไม่ได้อยู่ในสายตาของพวกเขาด้วยซ้ำ โดยเผยให้เห็นช่องว่างด้านความปลอดภัยที่ซ่อนอยู่ระหว่างโปรเจ็กต์โอเพ่นซอร์สกับระบบนิเวศของผู้สร้าง ผู้ดูแล ผู้จัดการแพ็คเกจ และองค์กรที่ใช้งานสิ่งเหล่านี้
การรักษาความปลอดภัยในห่วงโซ่อุปทานของซอฟต์แวร์เป็นรายการเฉพาะในงบดุลหนี้การรักษาความปลอดภัย แต่ CISO สามารถรวบรวมแผนการที่สอดคล้องกันเพื่อชำระหนี้ได้
ระดับใหม่ของความเปราะบาง
บริษัทส่วนใหญ่สามารถล็อคระบบความปลอดภัยเครือข่ายของตนได้เป็นอย่างดี แต่มีช่องโหว่มากมายที่เป็นไปได้ เนื่องจากนักพัฒนาสร้างระบบและสิ่งประดิษฐ์ซอฟต์แวร์ที่พวกเขาใช้เพื่อเขียนแอปพลิเคชันไม่มีกลไกการเชื่อถือหรือห่วงโซ่การดูแลที่ปลอดภัย
ทุกวันนี้ ใครก็ตามที่มีสามัญสำนึกรู้ดีว่าอย่าหยิบธัมบ์ไดรฟ์แบบสุ่มมาเสียบเข้ากับคอมพิวเตอร์ของตนเนื่องจากความเสี่ยงด้านความปลอดภัย แต่เป็นเวลาหลายทศวรรษแล้วที่นักพัฒนาได้ดาวน์โหลด แพ็คเกจโอเพ่นซอร์ส โดยไม่มีวิธีตรวจสอบได้ว่าปลอดภัย
นักแสดงที่ไม่ดีใช้ประโยชน์จากเวกเตอร์การโจมตีนี้ เนื่องจากเป็นผลไม้ชนิดใหม่ที่แขวนอยู่ต่ำ พวกเขาตระหนักดีว่าพวกเขาสามารถเข้าถึงผ่านช่องโหว่เหล่านี้ได้ และเมื่อเข้าไปข้างในแล้ว ให้หมุนไปยังระบบอื่นๆ ทั้งหมดที่ขึ้นอยู่กับสิ่งประดิษฐ์ที่ไม่ปลอดภัยใดๆ ก็ตามที่พวกเขาเคยใช้ในการเข้าไป
หยุดการขุดโดยการล็อคระบบการก่อสร้าง
จุดเริ่มต้นขั้นพื้นฐานสำหรับ CISO ได้รับการรับรองในเอกสารเช่นคู่มือนักพัฒนา”การรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์” คือการเริ่มใช้เฟรมเวิร์กโอเพ่นซอร์ส เช่น Secure Software Development Framework (SSDF) ของ NIST และ OpenSSF ระดับห่วงโซ่อุปทานสำหรับสิ่งประดิษฐ์ซอฟต์แวร์ (SLSA) สิ่งเหล่านี้เป็นขั้นตอนที่กำหนดไว้โดยทั่วไปในการล็อคห่วงโซ่อุปทานของคุณ SLSA ระดับ 1 คือการใช้ระบบบิลด์ ระดับ 2 คือการส่งออกบันทึกและข้อมูลเมตาบางส่วน (เพื่อให้คุณสามารถค้นหาสิ่งต่างๆ และดำเนินการตอบสนองต่อเหตุการณ์ได้ในภายหลัง) ระดับ 3 คือการปฏิบัติตามชุดแนวทางปฏิบัติที่ดีที่สุด ระดับ 4 คือการใช้ระบบการสร้างที่ปลอดภัยจริงๆ เมื่อทำตามขั้นตอนแรกเหล่านี้ CISO จะสามารถสร้างรากฐานที่แข็งแกร่งสำหรับการสร้างห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยตามค่าเริ่มต้น
สิ่งต่างๆ มีความซับซ้อนมากขึ้นเมื่อ CISO คิดถึงนโยบายเกี่ยวกับวิธีที่ทีมนักพัฒนาซอฟต์แวร์ได้รับซอฟต์แวร์โอเพ่นซอร์สตั้งแต่แรก นักพัฒนาจะรู้ได้อย่างไรว่านโยบายของบริษัทมีไว้เพื่อสิ่งที่ถือว่า “ปลอดภัย” และพวกเขารู้ได้อย่างไรว่าโอเพ่นซอร์สที่พวกเขากำลังได้รับ (ซึ่งประกอบเป็น ส่วนใหญ่มาก ของซอฟต์แวร์ทั้งหมดที่นักพัฒนาใช้อยู่ในปัจจุบัน) ไม่มีการแก้ไขใดๆ จริงหรือ?
ด้วยการล็อคระบบการสร้างและการสร้างวิธีการทำซ้ำเพื่อตรวจสอบแหล่งที่มาของสิ่งประดิษฐ์ซอฟต์แวร์ก่อนนำเข้าสู่สภาพแวดล้อม CISO จึงสามารถหยุดการขุดหลุมลึกให้กับองค์กรในเรื่องหนี้ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ
แล้วการชำระหนี้การรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์เก่าล่ะ?
หลังจากที่คุณหยุดขุดค้นโดยการล็อคอิมเมจพื้นฐานและสร้างสภาพแวดล้อมแล้ว ตอนนี้คุณต้องอัปเดตซอฟต์แวร์และแก้ไขช่องโหว่ของคุณ รวมถึงเวอร์ชันอิมเมจพื้นฐานด้วย
การอัปเดตซอฟต์แวร์และการแพตช์ CVE นั้นน่าเบื่ออย่างยิ่ง มันน่าเบื่อ ใช้เวลานาน มันเป็นงานที่น่าเบื่อ มันคืองาน มันคือ “การกินผักของคุณ” ของความปลอดภัยทางไซเบอร์ การชำระหนี้นี้ต้องอาศัยความร่วมมืออย่างลึกซึ้งระหว่าง CISO และทีมพัฒนา นอกจากนี้ยังเป็นโอกาสสำหรับทั้งสองทีมในการตกลงกันในเรื่องเครื่องมือและกระบวนการที่มีประสิทธิผลและปลอดภัยยิ่งขึ้น ซึ่งสามารถช่วยทำให้ห่วงโซ่อุปทานซอฟต์แวร์ขององค์กรมีความปลอดภัยตามค่าเริ่มต้น
เช่นเดียวกับที่บางคนไม่ชอบการเปลี่ยนแปลง ทีมซอฟต์แวร์บางทีมก็ไม่ชอบการอัปเดตอิมเมจฐานคอนเทนเนอร์ของตน อิมเมจพื้นฐานคือเลเยอร์แรกของแอปพลิเคชันซอฟต์แวร์บนคอนเทนเนอร์ การอัปเดตอิมเมจพื้นฐานเป็นเวอร์ชันใหม่บางครั้งอาจทำให้แอปพลิเคชันซอฟต์แวร์เสียหาย โดยเฉพาะอย่างยิ่งหากมีการทดสอบครอบคลุมไม่เพียงพอ ดังนั้น ทีมซอฟต์แวร์บางทีมจึงชอบสภาพที่เป็นอยู่ โดยพื้นฐานแล้วมักจะท่องไปในเวอร์ชันอิมเมจพื้นฐานที่ใช้งานได้อย่างไม่มีกำหนด ซึ่งมีแนวโน้มว่าจะสะสม CVE ทุกวัน
เพื่อหลีกเลี่ยงการสะสมช่องโหว่นี้ ทีมซอฟต์แวร์ควรอัปเดตรูปภาพบ่อยครั้งโดยมีการเปลี่ยนแปลงเล็กน้อย และใช้แนวปฏิบัติ "การทดสอบในการใช้งานจริง" เช่น การเผยแพร่ Canary การใช้อิมเมจคอนเทนเนอร์ที่ได้รับการเสริมความแข็งแกร่ง ขนาดน้อยที่สุด และสร้างด้วยเมตาดาต้าด้านความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ที่สำคัญ เช่น ค่าวัสดุซอฟต์แวร์ (SBOM)แหล่งที่มา และลายเซ็น สามารถช่วยบรรเทาความเจ็บปวดที่ต้องใช้เวลาในการจัดการช่องโหว่รายวันในอิมเมจพื้นฐานได้ เทคนิคเหล่านี้สร้างสมดุลที่เหมาะสมระหว่างการรักษาความปลอดภัยและการให้แน่ใจว่าการผลิตจะไม่ลดลง
เริ่มจ่ายเงินตามที่คุณไป
สิ่งที่ไม่พึงประสงค์เป็นพิเศษเกี่ยวกับหนี้ที่มีหลักทรัพย์ค้ำประกันก็คือ เมื่อคุณยื่นเรื่องต่อไปเพื่อ “สักวันหนึ่ง” โดยทั่วไปแล้วหนี้จะเมินเฉยเมื่อคุณมีความเสี่ยงมากที่สุดและมีความสามารถในการจ่ายน้อยที่สุด ช่องโหว่ของ Log4j เกิดขึ้นก่อนวงจรอีคอมเมิร์ซในช่วงวันหยุดอันแสนวุ่นวาย และทำให้ทีมวิศวกรรมและความปลอดภัยจำนวนมากต้องพิการในปีถัดไป ไม่มี CISO ที่ต้องการซ่อนเรื่องน่าประหลาดใจด้านความปลอดภัยที่ซุ่มซ่อนอยู่
CISO ทุกคนควรลงทุนขั้นต่ำในระบบบิลด์ที่ปลอดภัยยิ่งขึ้น วิธีการลงนามซอฟต์แวร์เพื่อสร้างแหล่งที่มาของซอฟต์แวร์ก่อนที่นักพัฒนาจะนำซอฟต์แวร์ออกสู่สิ่งแวดล้อม และเสริมความแข็งแกร่งด้วยอิมเมจฐานคอนเทนเนอร์ขั้นต่ำสุดที่จะลดพื้นผิวการโจมตีที่เป็นรากฐานของซอฟต์แวร์และแอปพลิเคชัน .
เมื่อเจาะลึกลงไปในการชำระหนี้ด้านความปลอดภัยในห่วงโซ่อุปทานซอฟต์แวร์จำนวนมหาศาลนี้ CISO ต้องเผชิญกับปริศนาว่าพวกเขาเต็มใจที่จะให้นักพัฒนาจ่ายเงินเป็นจำนวนเท่าใดในระหว่างดำเนินการ (โดยการอัปเดตอิมเมจพื้นฐานและซอฟต์แวร์ที่มีช่องโหว่อย่างต่อเนื่อง) เทียบกับการเลื่อนหนี้ดังกล่าวและบรรลุระดับที่ยอมรับได้ ช่องโหว่
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 1
- 7
- a
- เกี่ยวกับเรา
- ยอมรับได้
- เข้า
- สะสม
- ขุม
- การบรรลุ
- ได้รับ
- การแสวงหา
- นักแสดง
- ทั้งหมด
- บรรเทา
- ด้วย
- เสมอ
- an
- และ
- ทุกคน
- การใช้งาน
- การใช้งาน
- เป็น
- AS
- At
- โจมตี
- หลีกเลี่ยง
- ไป
- ยอดคงเหลือ
- งบดุล
- ฐาน
- เป็นพื้น
- BE
- เพราะ
- รับ
- ก่อน
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- ระหว่าง
- ใหญ่
- ธนบัตร
- เจาะ
- ทั้งสอง
- ทำลาย
- นำมาซึ่ง
- การนำ
- สร้าง
- การก่อสร้าง
- สร้าง
- ไม่ว่าง
- แต่
- by
- CAN
- การใช้ตัวพิมพ์ใหญ่
- โซ่
- เปลี่ยนแปลง
- การเปลี่ยนแปลง
- CISO
- ชั้น
- สอดคล้องกัน
- การทำงานร่วมกัน
- ร่วมกัน
- บริษัท
- บริษัท
- คอมพิวเตอร์
- ถือว่า
- ภาชนะ
- เรื่อย
- ปริศนา
- ความคุ้มครอง
- สร้าง
- การสร้าง
- ผู้สร้าง
- วิกฤติ
- การดูแล
- cybersecurity
- วงจร
- ประจำวัน
- วัน
- หนี้สิน
- ทศวรรษที่ผ่านมา
- การตัดสินใจ
- ลึก
- ลึก
- ค่าเริ่มต้น
- ปรับใช้
- ผู้พัฒนา
- นักพัฒนา
- พัฒนาการ
- do
- doesn
- การทำ
- สวม
- ลง
- ขับรถ
- สอง
- E-commerce
- กิน
- ระบบนิเวศ
- มีประสิทธิภาพ
- ชั้นเยี่ยม
- การเข้า
- สิ่งแวดล้อม
- สภาพแวดล้อม
- ยุค
- โดยเฉพาะอย่างยิ่ง
- เป็นหลัก
- สร้าง
- แม้
- ทุกๆ
- การหาประโยชน์
- ส่งออก
- ที่เปิดเผย
- ใบหน้า
- FAST
- คุณสมบัติ
- ยื่น
- ชื่อจริง
- ก้าวแรก
- ปฏิบัติตาม
- ดังต่อไปนี้
- สำหรับ
- รากฐาน
- กรอบ
- กรอบ
- มัก
- ฟังก์ชั่น
- พื้นฐาน
- ได้รับ
- ช่องว่าง
- ได้รับ
- Go
- ดี
- ให้คำแนะนำ
- มี
- หัว
- ช่วย
- ซ่อนเร้น
- รู
- หลุม
- วันหยุด
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ใหญ่
- if
- ภาพ
- ภาพ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- รวมถึง
- รวมทั้ง
- ไม่ปลอดภัย
- ภายใน
- เข้าไป
- การลงทุน
- IT
- ITS
- การสัมภาษณ์
- เพียงแค่
- เก็บ
- ทราบ
- ภาษา
- ต่อมา
- ชั้น
- น้อยที่สุด
- ชั้น
- ระดับ
- เลฟเวอเรจ
- กดไลก์
- น่าจะ
- Line
- log4j
- ดู
- ทำ
- ทำ
- การทำ
- การจัดการ
- ผู้จัดการ
- หลาย
- มาก
- วัสดุ
- กลไก
- เมตาดาต้า
- วิธี
- วิธีการ
- ต่ำสุด
- ขั้นต่ำ
- Moments
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- ต้อง
- จำเป็นต้อง
- เครือข่าย
- การรักษาความปลอดภัยเครือข่าย
- ใหม่
- คุณสมบัติใหม่
- ล่าสุด
- NIST
- ไม่
- ตอนนี้
- of
- เก่า
- on
- ครั้งเดียว
- เปิด
- โอเพนซอร์ส
- โอกาส
- or
- organizacja
- องค์กร
- อื่นๆ
- เกิน
- แพ็คเกจ
- ต้องจ่าย
- อาการเจ็บปวด
- ส่วนหนึ่ง
- ปะ
- แพทช์
- ปะ
- ชำระ
- การจ่ายเงิน
- รูปแบบไฟล์ PDF
- คน
- การปฏิบัติ
- เลือก
- เดือย
- สถานที่
- แผนการ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ปลั๊ก
- จุด
- นโยบาย
- เป็นไปได้
- การปฏิบัติ
- ชอบ
- จัดลำดับความสำคัญ
- กระบวนการ
- การผลิต
- ประสิทธิผล
- การเขียนโปรแกรม
- การเขียนโปรแกรมภาษา
- โครงการ
- ราก
- ใส่
- เรดาร์
- สุ่ม
- RE
- สำนึก
- ตระหนักถึง
- จริงๆ
- ตระหนักถึง
- ลด
- สัมพันธ์
- ความเชื่อถือได้
- ทำซ้ำได้
- ต้อง
- คำตอบ
- ขวา
- ความเสี่ยง
- วิ่ง
- s
- ปลอดภัย
- ปลอดภัย
- ความปลอดภัย
- ความเสี่ยงด้านความปลอดภัย
- ความรู้สึก
- ชุด
- แผ่น
- เรือ
- การส่งสินค้า
- น่า
- ลายเซ็น
- การลงชื่อ
- ขนาด
- เล็ก
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- บาง
- สักวันหนึ่ง
- แหล่ง
- มั่นคง
- เริ่มต้น
- ที่เริ่มต้น
- Status
- ขั้นตอน
- หยุด
- หยุด
- โขก
- แข็งแรง
- ยิ่งใหญ่
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- แน่ใจ
- พื้นผิว
- ที่น่าประหลาดใจ
- ระบบ
- ระบบ
- ใช้เวลา
- งาน
- ทีม
- วิชาการ
- เทคนิค
- ทดสอบ
- การทดสอบ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- นี้
- เหล่านั้น
- ตลอด
- เวลา
- ต้องใช้เวลามาก
- ไปยัง
- ร่วมกัน
- วางใจ
- เป็นปกติ
- เป็นเอกลักษณ์
- ที่ไม่ซ้ำกัน
- บันทึก
- การปรับปรุง
- ใช้
- มือสอง
- การใช้
- Ve
- ตรวจสอบ
- รุ่น
- กับ
- โดยสมัครใจ
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- ต้องการ
- คือ
- เคยเป็น
- ทาง..
- ดี
- อะไร
- อะไรก็ตาม
- เมื่อ
- ที่
- WHO
- ทั้งหมด
- เต็มใจ
- กับ
- งาน
- การทำงาน
- เขียน
- ปี
- ใช่
- คุณ
- ของคุณ
- ลมทะเล