เมื่ออุตสาหกรรมความปลอดภัยทางไซเบอร์เข้าใกล้ฤดูกาลประชุม เป็นเรื่องเหลือเชื่อที่สมาชิกในชุมชนกระตือรือร้นที่จะแบ่งปันประสบการณ์ของพวกเขา อาจมีผู้โต้แย้งว่ากระบวนการเรียกร้องให้มีการพูดคุยเสนอภาพรวมเชิงลึกและกว้างของสิ่งที่อยู่ในความคิดร่วมกันของระบบนิเวศความปลอดภัยทางไซเบอร์ทั้งหมด หนึ่งในหัวข้อสนทนาที่น่าสนใจที่สุดที่สังเกตได้จาก “RSAC 2023 เรียกร้องให้ส่งรายงานแนวโน้ม” อยู่ในและรอบๆ โอเพ่นซอร์ส ซึ่งแพร่หลายมากขึ้นและถูกเก็บงำน้อยกว่าที่สังเกตก่อนหน้านี้ ซอฟต์แวร์สมัยใหม่มีการเปลี่ยนแปลง และมาพร้อมกับคำมั่นสัญญาและอันตราย
มีใครเขียนซอฟต์แวร์ของตัวเองอีกไหม?
ไม่น่าแปลกใจที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้เวลาส่วนใหญ่พูดคุยเกี่ยวกับซอฟต์แวร์ — วิธีการประกอบ ทดสอบ ปรับใช้ และแพตช์ ซอฟต์แวร์มีผลกระทบอย่างมากต่อทุกธุรกิจ โดยไม่คำนึงถึงขนาดหรือภาคส่วน ตแนวทางและแนวปฏิบัติมีการพัฒนาตามขนาดและความซับซ้อนที่เพิ่มขึ้น ผลที่ตามมาคือ “ซอฟต์แวร์สมัยใหม่กำลังถูกรวบรวมมากกว่าที่กำลังเขียน” Jennifer Czaplewski ผู้อำนวยการอาวุโสของ Target ซึ่งเธอเป็นผู้นำด้าน DevSecOps และการรักษาความปลอดภัยปลายทางกล่าว เธอยังเป็นสมาชิกคณะกรรมการโครงการ RSA Conference นั่นไม่ใช่แค่ความคิดเห็นเท่านั้น การประมาณจำนวนซอฟต์แวร์ในอุตสาหกรรมที่มีส่วนประกอบโอเพ่นซอร์ส — โค้ดที่มีเป้าหมายโดยตรงในการโจมตีทั้งขนาดเล็กและขนาดใหญ่ — ตั้งแต่ 70% ถึงเกือบ 100%สร้างพื้นผิวการโจมตีขนาดใหญ่ที่ปรับเปลี่ยนได้เพื่อปกป้อง และเป็นพื้นที่สำคัญสำหรับห่วงโซ่อุปทานของทุกคน
การประกอบรหัสทำให้เกิดการพึ่งพาที่แพร่หลายและการพึ่งพาสกรรมกริยาเป็นสิ่งประดิษฐ์ตามธรรมชาติ การขึ้นต่อกันเหล่านี้ลึกกว่าโค้ดจริง และทีมที่รวมเอาการขึ้นต่อกันจำเป็นต้องเข้าใจกระบวนการที่ใช้ในการเรียกใช้ ทดสอบ และบำรุงรักษาให้ดียิ่งขึ้น
เกือบทุกองค์กรในปัจจุบันพึ่งพาโค้ดโอเพ่นซอร์สอย่างหลีกเลี่ยงไม่ได้ ซึ่งขับเคลื่อนความต้องการวิธีการที่ดีกว่าในการประเมินความเสี่ยง การใช้แคตตาล็อก ติดตามผลกระทบ และตัดสินใจอย่างรอบรู้ก่อน ระหว่าง และหลังการรวมส่วนประกอบโอเพ่นซอร์สเข้ากับชุดซอฟต์แวร์
สร้างความไว้วางใจและองค์ประกอบสู่ความสำเร็จ
โอเพ่นซอร์สไม่ได้เป็นเพียงปัญหาด้านเทคโนโลยีเท่านั้น หรือปัญหากระบวนการ หรือปัญหาเรื่องคน มันครอบคลุมทุกอย่างจริงๆ และนักพัฒนา หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) และผู้กำหนดนโยบายต่างมีบทบาท ความโปร่งใส การทำงานร่วมกัน และการสื่อสารในกลุ่มเหล่านี้ทั้งหมดเป็นกุญแจสำคัญในการสร้างความไว้วางใจที่สำคัญ
จุดโฟกัสหนึ่งสำหรับการสร้างความไว้วางใจคือซอฟต์แวร์รายการวัสดุ (SBOM) ซึ่งได้รับความนิยมเพิ่มขึ้นหลังจากนั้น คำสั่งฝ่ายบริหารเดือนพฤษภาคม 2021 ของประธานาธิบดีไบเดน. เราเริ่มเห็นข้อสังเกตที่จับต้องได้ของประโยชน์เชิงปริมาณจากการนำไปใช้ รวมถึงการควบคุมและการมองเห็นสินทรัพย์ เวลาในการตอบสนองต่อช่องโหว่ที่รวดเร็วขึ้น และการจัดการวงจรชีวิตของซอฟต์แวร์โดยรวมที่ดีขึ้น แรงฉุดของ SBOM ดูเหมือนว่าจะสร้าง BOM เพิ่มเติม ซึ่งในบรรดา DBOM (data), HBOM (ฮาร์ดแวร์), PBOM (ไปป์ไลน์) และ CBOM (ความปลอดภัยทางไซเบอร์) เวลาจะบอกได้ว่าผลประโยชน์นั้นมีค่ามากกว่าภาระหน้าที่อันหนักหน่วงในการดูแลนักพัฒนาหรือไม่ แต่หลายคนก็หวังว่าการเคลื่อนไหวของ BOM จะนำไปสู่วิธีการคิดและแก้ไขปัญหาที่เหมือนกัน
นโยบายและความร่วมมือเพิ่มเติม ได้แก่ พ.ร.บ. ซอฟต์แวร์โอเพ่นซอร์สที่ปลอดภัย, ระดับห่วงโซ่อุปทานสำหรับกรอบงาน Software Artifacts (SLSA)และ กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (SSDF) ของ NISTดูเหมือนจะสนับสนุนแนวทางปฏิบัติที่ทำให้โอเพ่นซอร์สเป็นที่แพร่หลาย - ชุมชนส่วนรวมที่ทำงานร่วมกันโดยมีเป้าหมายเพื่อให้แน่ใจว่าห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยโดยค่าเริ่มต้น
การมุ่งเน้นที่ "ข้อเสีย" ของโอเพ่นซอร์สอย่างโจ่งแจ้งและการจัดการ การโจมตี และการกำหนดเป้าหมายของมันได้ก่อให้เกิดความพยายามใหม่ ๆ ในการลดความเสี่ยงที่เกี่ยวข้อง ทั้งกับกระบวนการพัฒนาและรายงาน ตลอดจนเทคโนโลยี มีการลงทุนเพื่อหลีกเลี่ยงการกลืนกินส่วนประกอบที่เป็นอันตรายตั้งแต่แรก การใคร่ครวญและการเรียนรู้ในชีวิตจริงเกี่ยวกับการพัฒนาซอฟต์แวร์ วงจรชีวิตการพัฒนาซอฟต์แวร์ (SDLC) และห่วงโซ่อุปทานโดยรวมมีประโยชน์อย่างมากต่อชุมชนในขั้นตอนนี้
ในความเป็นจริงโอเพ่นซอร์สมีประโยชน์อย่างมาก ... โอเพ่นซอร์ส! นักพัฒนาพึ่งพาเครื่องมือโอเพ่นซอร์สเพื่อรวมการควบคุมความปลอดภัยที่สำคัญซึ่งเป็นส่วนหนึ่งของ การผสานรวมอย่างต่อเนื่อง/การส่งมอบอย่างต่อเนื่อง (ไปป์ไลน์ CI/CD) พยายามอย่างต่อเนื่องในการจัดหาทรัพยากรเช่น บัตรคะแนน OpenSSFด้วยสัญญาของการให้คะแนนอัตโนมัติและ ซอฟต์แวร์โอเพ่นซอร์ส (OSS) Secure Supply Chain (SSC) Frameworkซึ่งเป็นเฟรมเวิร์กที่มุ่งเน้นการบริโภคที่ออกแบบมาเพื่อปกป้องนักพัฒนาจากภัยคุกคามห่วงโซ่อุปทาน OSS ในโลกแห่งความเป็นจริง เป็นเพียงสองตัวอย่างกิจกรรมที่มีแนวโน้มว่าจะสนับสนุนทีมในขณะที่ประกอบซอฟต์แวร์
แข็งแกร่งขึ้นด้วยกัน
โอเพ่นซอร์สมีและจะดำเนินต่อไป เปลี่ยนเกมซอฟต์แวร์. มันส่งผลกระทบต่อวิธีที่โลกสร้างซอฟต์แวร์ ได้ช่วยเร่งเวลาในการออกสู่ตลาด ได้กระตุ้นนวัตกรรมและลดต้นทุนการพัฒนา อาจมีผลกระทบเชิงบวกต่อความปลอดภัย แต่งานยังคงต้องทำต่อไป และการสร้างโลกที่ปลอดภัยยิ่งขึ้นต้องใช้หมู่บ้านมารวมกันเพื่อแบ่งปันแนวคิดและแนวทางปฏิบัติที่ดีที่สุดกับชุมชนที่ใหญ่กว่า
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- เกี่ยวกับเรา
- ข้าม
- กิจกรรม
- เพิ่มเติม
- หลังจาก
- กับ
- ทั้งหมด
- ในหมู่
- และ
- ทุกคน
- วิธีการ
- ใกล้เข้ามา
- AREA
- เถียง
- รอบ
- ลอม
- สินทรัพย์
- ที่เกี่ยวข้อง
- โจมตี
- การโจมตี
- อัตโนมัติ
- กลายเป็น
- ก่อน
- กำลัง
- เป็นประโยชน์
- ประโยชน์
- ประโยชน์ที่ได้รับ
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- ดีกว่า
- ไบเดน
- บิล
- กว้าง
- การก่อสร้าง
- สร้าง
- ธุรกิจ
- โทรศัพท์
- ซึ่ง
- แค็ตตาล็อก
- โซ่
- หัวหน้า
- รหัส
- การทำงานร่วมกัน
- ความร่วมมือ
- โดยรวม
- มา
- กรรมการ
- การสื่อสาร
- ชุมชน
- ความซับซ้อน
- ส่วนประกอบ
- การประชุม
- คองเกรส
- จุดด้อย
- ต่อ
- อย่างต่อเนื่อง
- ควบคุม
- การควบคุม
- ค่าใช้จ่าย
- ได้
- สร้าง
- การสร้าง
- วิกฤติ
- cybersecurity
- วงจร
- การตัดสินใจ
- ลึก
- ลึก
- การจัดส่ง
- ความต้องการ
- นำไปใช้
- ได้รับการออกแบบ
- นักพัฒนา
- พัฒนาการ
- โดยตรง
- ผู้อำนวยการ
- การสนทนา
- ขับเคลื่อน
- ในระหว่าง
- ระบบนิเวศ
- ความพยายาม
- ส่งเสริม
- ปลายทาง
- การรักษาความปลอดภัยปลายทาง
- การสร้างความมั่นใจ
- ทั้งหมด
- ประมาณการ
- ทุกๆ
- ทุกคน
- ทุกอย่าง
- วิวัฒน์
- ตัวอย่าง
- ผู้บริหารงาน
- ประสบการณ์
- ชื่อจริง
- โฟกัส
- ฟอร์บ
- กรอบ
- ราคาเริ่มต้นที่
- กำหนด
- เป้าหมาย
- มากขึ้น
- อย่างมาก
- กลุ่ม
- ฮาร์ดแวร์
- ช่วย
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ใหญ่
- ความคิด
- ส่งผลกระทบ
- การดำเนินงาน
- in
- รวมถึง
- รวมทั้ง
- ผสมผสาน
- เพิ่มขึ้น
- เหลือเชื่อ
- เหลือเชื่อ
- อุตสาหกรรม
- ข้อมูล
- ความปลอดภัยของข้อมูล
- แจ้ง
- นักวิเคราะห์ส่วนบุคคลที่หาโอกาสให้เป็นไปได้มากที่สุด
- รวบรวม
- เงินลงทุน
- ปัญหา
- IT
- เจนนิเฟอร์
- คีย์
- ใหญ่
- นำ
- นำไปสู่
- ระดับ
- ชีวิต
- วงจรชีวิต
- Lot
- ทำ
- เก็บรักษา
- ทำ
- การจัดการ
- การจัดการ
- หลาย
- ตลาด
- วัสดุ
- สมาชิก
- สมาชิก
- แค่
- อาจ
- จิตใจ
- บรรเทา
- ทันสมัย
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- โดยธรรมชาติ
- เกือบทั้งหมด
- จำเป็นต้อง
- ใหม่
- NIST
- เสนอ
- เจ้าหน้าที่
- ONE
- เปิด
- โอเพนซอร์ส
- ความคิดเห็น
- organizacja
- เรา
- ทั้งหมด
- ของตนเอง
- ส่วนหนึ่ง
- คน
- ท่อ
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- จุด
- นโยบาย
- ผู้กำหนดนโยบาย
- ความนิยม
- บวก
- การปฏิบัติ
- ก่อนหน้านี้
- ปัญหา
- กระบวนการ
- กระบวนการ
- มืออาชีพ
- โครงการ
- คำมั่นสัญญา
- แวว
- ป้องกัน
- ให้
- ใส่
- รวดเร็ว
- RE
- โลกแห่งความจริง
- ลดลง
- ไม่คำนึงถึง
- ความเชื่อมั่น
- ซากศพ
- รายงาน
- แหล่งข้อมูล
- คำตอบ
- ผล
- ความเสี่ยง
- บทบาท
- อาร์เอส
- ประชุมสภา
- วิ่ง
- พูดว่า
- ขนาด
- คะแนน
- ฤดู
- ภาค
- ปลอดภัย
- การรักษา
- ความปลอดภัย
- ดูเหมือนว่า
- ระดับอาวุโส
- Share
- ขยับ
- สำคัญ
- ขนาด
- เล็ก
- ภาพย่อ
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- แหล่ง
- รหัสแหล่งที่มา
- ความเร็ว
- ใช้จ่าย
- สแต็ค
- ระยะ
- ที่เริ่มต้น
- ที่ส่ง
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- พื้นผิว
- ใช้เวลา
- การพูดคุย
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- ทีม
- เทคโนโลยี
- ทดสอบ
- พื้นที่
- โลก
- ของพวกเขา
- คิด
- ในปีนี้
- ภัยคุกคาม
- เวลา
- ครั้ง
- ไปยัง
- ในวันนี้
- ร่วมกัน
- เครื่องมือ
- หัวข้อ
- ลู่
- แรงฉุด
- ความโปร่งใส
- แนวโน้ม
- วางใจ
- แพร่หลาย
- เข้าใจ
- ใช้
- หมู่บ้าน
- ความชัดเจน
- ช่องโหว่
- วิธี
- อะไร
- ว่า
- ที่
- ทั้งหมด
- แพร่หลาย
- จะ
- งาน
- การทำงาน
- โลก
- เขียน
- เขียน
- ปี
- ลมทะเล