BT'de her zaman yeni özelliklerin ve işlevlerin sunulması ile güvenilirlik, performans, test etme ve evet güvenlik gibi şeyleri içeren teknik borcun ödenmesi arasında bir ödünleşim olmuştur.
Bu "hızlı gönder ve işleri boz" çağında, güvenlik borcunun birikmesi kuruluşların gönüllü olarak aldığı bir karardır. Her kuruluşun Jira biriktirme listelerinde "bir gün" için doldurulmuş güvenlik görevleri vardır; güvenlik yamalarını dağıtmak ve programlama dilleri ve çerçevelerinin en yeni, en kararlı sürümlerini çalıştırmak gibi şeyler. Doğru olanı yapmak zaman alır ve ekipler yeni özelliklere öncelik verdikleri için bu görevleri bilinçli olarak ertelerler. CISO'nun işinin büyük bir kısmı, güvenlik borçlarının ödenmesi gereken anları tanımaktır.
Bunu yapan bir şey Log4j'den yararlanma CISO'lar için o kadar endişe vericiydi ki, onların radarlarında bile olmayan bu devasa birikmiş borcun farkına varıldı. Açık kaynak projeleri ile bunları kullanan yaratıcıların, bakımcıların, paket yöneticilerinin ve kuruluşların ekosistemleri arasındaki gizli güvenlik açıkları sınıfını açığa çıkardı.
Yazılım tedarik zinciri güvenliği, güvenlik borcu bilançosunun benzersiz bir kalemidir, ancak CISO'lar bunun ödenmesi için tutarlı bir plan oluşturabilir.
Yeni Bir Güvenlik Açığı Sınıfı
Çoğu şirket ağ güvenliğini kilitleme konusunda gerçekten başarılı oldu. Ancak geliştiricilerin oluşturduğu sistemler ve uygulama yazmak için kullandıkları yazılım eserlerinin bir güven mekanizması ya da güvenli bir gözetim zinciri olmaması nedeniyle mümkün olan çok çeşitli suistimaller mevcuttur.
Bugün, sağduyu sahibi herkes, güvenlik riskleri nedeniyle rastgele bir flash sürücüyü alıp bilgisayarına takmaması gerektiğini biliyor. Ancak onlarca yıldır geliştiriciler indiriyor açık kaynak paketleri güvende olduklarını doğrulamanın hiçbir yolu yok.
Kötü aktörler bu saldırı vektöründen yararlanıyor çünkü bu, yeni ortaya çıkan meyvedir. Bu deliklerden erişim sağlayabileceklerini ve içeri girdiklerinde, giriş elde etmek için kullandıkları güvensiz yapıtlara bağımlı olan diğer tüm sistemlere yönelebileceklerini fark ediyorlar.
Yapı Sistemlerini Kilitleyerek Kazmayı Durdurun
CISO'lar için geliştirici kılavuzu gibi materyallerde desteklenen temel başlangıç noktası "Yazılım Tedarik Zincirinin Güvenliğini Sağlama", NIST'in Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ve OpenSSF'ninki gibi açık kaynaklı çerçeveleri kullanmaya başlamaktır. Yazılım Eserleri için Tedarik Zinciri Seviyeleri (SLSA). Bunlar temel olarak tedarik zincirinizi kilitlemek için kuralcı adımlardır. SLSA Seviye 1, bir yapı sistemi kullanmaktır. Seviye 2, bazı günlükleri ve meta verileri dışa aktarmaktır (böylece daha sonra bazı şeyleri arayabilir ve olaylara müdahale edebilirsiniz). Seviye 3 bir dizi en iyi uygulamayı takip etmektir. Seviye 4, gerçekten güvenli bir yapı sistemi kullanmaktır. CISO'lar bu ilk adımları izleyerek varsayılan olarak güvenli bir yazılım tedarik zinciri oluşturmak için güçlü bir temel oluşturabilir.
CISO'lar, geliştirici ekiplerinin ilk etapta açık kaynaklı yazılımı nasıl edineceğine ilişkin politikalar üzerinde düşündükçe işler daha da incelikli hale geliyor. Geliştiriciler, şirketlerinin neyin "güvenli" kabul edildiğine ilişkin politikalarının ne olduğunu nasıl biliyor? Ve edindikleri açık kaynağın (ki bu da büyük çoğunluk Bugünlerde geliştiriciler tarafından kullanılan tüm yazılımların arasında) gerçekten de kurcalanmamış mı?
CISO'lar, yapı sistemlerini kilitleyerek ve yazılım eserlerinin ortama getirilmeden önce kaynağını doğrulamak için tekrarlanabilir bir yöntem oluşturarak, kuruluşlarının güvenlik borcunda daha derin bir çukur kazmasını etkili bir şekilde durdurabilir.
Eski Yazılım Tedarik Zinciri Güvenliği Borcunu Ödemeye Ne Dersiniz?
Temel görüntülerinizi ve derleme ortamlarınızı kilitleyerek kazı yapmayı bıraktıktan sonra, artık yazılımınızı güncellemeniz ve temel görüntü sürümleri de dahil olmak üzere güvenlik açıklarınızı düzeltmeniz gerekiyor.
Yazılımı güncellemek ve CVE'lere yama uygulamak son derece sıkıcıdır. Sıkıcıdır, zaman alır, angaryadır, iştir. Bu, siber güvenliğin “sebzelerini ye”sidir. Bu borcun ödenmesi, CISO'lar ve geliştirme ekipleri arasında derin bir işbirliği gerektirir. Bu aynı zamanda her iki ekibin de bir kuruluşun yazılım tedarik zincirini varsayılan olarak güvenli hale getirmeye yardımcı olabilecek daha güvenli, üretken araçlar ve süreçler üzerinde anlaşmaya varması için bir fırsattır.
Bazı insanların değişimden hoşlanmaması gibi, bazı yazılım ekipleri de konteyner tabanı görsellerinin güncellenmesinden hoşlanmaz. Temel görüntü, konteyner tabanlı yazılım uygulamalarının ilk katmanıdır. Temel görüntünün yeni bir sürüme güncellenmesi bazen, özellikle de yetersiz test kapsamı varsa, yazılım uygulamasının bozulmasına neden olabilir. Bu nedenle, bazı yazılım ekipleri statükoyu tercih ediyor ve esas olarak, muhtemelen günlük olarak CVE'leri biriktiren, çalışan bir temel görüntü sürümü üzerinde süresiz olarak dolaşıyorlar.
Bu güvenlik açıklarının birikmesini önlemek için yazılım ekipleri, görüntüleri küçük değişikliklerle sık sık güncellemeli ve kanarya sürümleri gibi "üretimde test" uygulamalarını kullanmalıdır. Sertleştirilmiş, minimum boyutlu ve kritik yazılım tedarik zinciri güvenliği meta verileriyle oluşturulmuş konteyner görüntüleri kullanma: yazılım malzeme listeleri (SBOM'ler), kaynak ve imzalar, temel görüntülerde günlük güvenlik açığı yönetiminin zaman alan sıkıntısını hafifletmeye yardımcı olabilir. Bu teknikler, güvende kalmak ile üretimin düşmemesini sağlamak arasında doğru dengeyi kurar.
Kullandıkça Ödemeye Başlayın
Teminat borcunun benzersiz bir şekilde rahatsız edici yanı, onu "bir gün" için dosyalamaya devam ettiğinizde, genellikle en savunmasız olduğunuz ve ödemeye en az gücünüzün yettiği bir anda ortaya çıkmasıdır. Log4j güvenlik açığı, yoğun tatil e-ticaret döngüsünün hemen öncesinde ortaya çıktı ve birçok mühendislik ve güvenlik ekibini ertesi yıl boyunca sakat bıraktı. Hiçbir CISO gizli güvenlik sürprizlerinin gizlenmesini istemez.
Her CISO, daha güvenli yapı sistemlerine, geliştiriciler onu ortama getirmeden önce yazılımın kaynağını belirlemek için yazılım imzalama yöntemlerine ve yazılım ve uygulamaların temelindeki saldırı yüzeyini azaltan sertleştirilmiş, minimum konteyner tabanı görüntülerine minimum yatırım yapmalıdır. .
Bu devasa yazılım tedarik zinciri güvenlik borcu getirisinin derinliklerinde, CISO'lar, geliştiricilerinin (temel görüntüleri ve yazılımları güvenlik açıklarıyla birlikte sürekli olarak güncelleyerek) ilerledikçe ne kadar ödemeye istekli oldukları ile bu borcu erteleme ve kabul edilebilir bir güvenlik düzeyine ulaşma konusunda ne kadar istekli oldukları konusunda bir ikilemle karşı karşıyadır. güvenlik açığı.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 1
- 7
- a
- Hakkımızda
- kabul edilebilir
- erişim
- birikmiş
- birikim
- elde
- kazanmak
- edinme
- aktörler
- Türkiye
- hafifletmek
- Ayrıca
- her zaman
- an
- ve
- kimse
- Uygulama
- uygulamaları
- ARE
- AS
- At
- saldırı
- önlemek
- uzakta
- Bakiye
- Bilanço
- baz
- temel olarak
- BE
- Çünkü
- olmuştur
- önce
- İYİ
- en iyi uygulamalar
- arasında
- Büyük
- Fatura
- Sıkıcı
- her ikisi de
- mola
- getirmek
- Bringing
- inşa etmek
- bina
- yapılı
- meşgul
- fakat
- by
- CAN
- sermaye
- zincir
- değişiklik
- değişiklikler
- CISO'su
- sınıf
- tutarlı
- işbirliği
- ortak
- Şirketler
- şirket
- bilgisayar
- kabul
- Konteyner
- sürekli olarak
- bilmece
- kapsama
- yaratmak
- Oluşturma
- yaratıcıları
- kritik
- Gözaltı
- Siber güvenlik
- devir
- günlük
- Günler
- Borç
- yıl
- karar
- derin
- derin
- Varsayılan
- dağıtma
- Geliştirici
- geliştiriciler
- gelişme
- do
- gelmez
- yapıyor
- don
- aşağı
- sürücü
- gereken
- e-ticaret
- yemek
- ekosistemler
- etkili bir şekilde
- Mühendislik
- giriş
- çevre
- ortamları
- çağ
- özellikle
- esasen
- kurmak
- Hatta
- Her
- patlatır
- ihracat
- maruz
- Yüz
- HIZLI
- Özellikler
- Dosyalama
- Ad
- ilk adımlar
- takip et
- takip etme
- İçin
- vakıf
- iskelet
- çerçeveler
- sık sık
- işlevsellik
- temel
- Kazanç
- boşluklar
- almak
- Go
- Tercih Etmenizin
- rehberlik
- Var
- baş
- yardım et
- Gizli
- Delik
- Delikler
- Tatil
- Ne kadar
- HTTPS
- Kocaman
- if
- görüntü
- görüntüleri
- in
- olay
- olay yanıtı
- içerir
- Dahil olmak üzere
- güvensiz
- içeride
- içine
- yatırım
- IT
- ONUN
- İş
- sadece
- tutmak
- Bilmek
- Diller
- sonra
- tabaka
- en az
- seviye
- seviyeleri
- Kaldıraç
- sevmek
- Muhtemelen
- çizgi
- log4j
- Bakın
- yapılmış
- yapmak
- Yapımı
- yönetim
- Yöneticileri
- çok
- masif
- malzemeler
- mekanizma
- Metadata
- yöntem
- yöntemleri
- en az
- asgari
- Anlar
- Daha
- çoğu
- çok
- şart
- gerek
- ağ
- Ağ Güvenliği
- yeni
- Yeni Özellikler
- en yeni
- NiST
- yok hayır
- şimdi
- of
- Eski
- on
- bir Zamanlar
- açık
- açık kaynak
- Fırsat
- or
- kuruluşlar
- organizasyonlar
- Diğer
- tekrar
- paket
- ödenmiş
- Ağrı
- Bölüm
- Patch
- Yamalar
- Yama
- ödeme yapan
- İnsanlar
- performans
- seçmek
- Pivot
- yer
- plan
- Platon
- Plato Veri Zekası
- PlatoVeri
- fiş
- Nokta
- politikaları
- mümkün
- uygulamalar
- tercih
- önceliklendirme
- Süreçler
- üretim
- üretken
- Programlama
- Programlama dilleri
- Projeler
- kaynak
- koymak
- radar
- rasgele
- RE
- gerçekleşme
- gerçekleştirmek
- Gerçekten mi
- tanıma
- azaltmak
- Bildirileri
- güvenilirlik
- tekrarlanabilir
- gerektirir
- yanıt
- krallar gibi yaşamaya
- riskler
- koşu
- s
- güvenli
- güvenli
- güvenlik
- güvenlik riskleri
- duyu
- Dizi
- yaprak
- GEMİ
- Kargo
- meli
- İmzalar
- imza
- beden
- küçük
- So
- Yazılım
- yazılım geliştirme
- biraz
- birgün
- Kaynak
- kararlı
- başlama
- XNUMX dakika içinde!
- Durum
- Basamaklar
- dur
- durdu
- grev
- güçlü
- harika
- arz
- tedarik zinciri
- elbette
- yüzey
- sürprizler
- sistem
- Sistemler
- alır
- görevleri
- takım
- Teknik
- teknikleri
- test
- Test yapmak
- o
- The
- ve bazı Asya
- Onları
- Orada.
- Bunlar
- onlar
- şey
- işler
- düşünmek
- Re-Tweet
- Bu
- İçinden
- zaman
- zaman tükeniyor
- için
- birlikte
- Güven
- tipik
- benzersiz
- benzersiz
- Güncelleme
- güncellenmesi
- kullanım
- Kullanılmış
- kullanma
- Ve
- doğrulamak
- versiyon
- Karşı
- kendi isteğiyle
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- istiyor
- oldu
- değildi
- Yol..
- İYİ
- Ne
- ne
- ne zaman
- hangi
- DSÖ
- bütün
- istekli
- ile
- İş
- çalışma
- yazmak
- yıl
- Evet
- Sen
- zefirnet