Оскільки галузь кібербезпеки наближається до сезону конференцій, неймовірно бачити членів спільноти, які прагнуть поділитися своїм досвідом. Хтось може заперечити, що процес виклику доповідачів пропонує глибокий і широкий знімок того, що є в колективних думках усієї екосистеми кібербезпеки. Одна з найцікавіших тем для обговорення цьогорічного “Звіт про тенденції конкурсу RSAC 2023” був у відкритому коді та навколо нього, який став більш повсюдним і менш закритим, ніж спостерігалося раніше. Сучасне програмне забезпечення змінилося, а з ним прийшли обіцянки та небезпеки.
Хтось більше пише власне програмне забезпечення?
Не дивно, що фахівці з кібербезпеки витрачають багато часу на розмови про програмне забезпечення — як воно збирається, тестується, розгортається та виправляється. Програмне забезпечення має значний вплив на кожен бізнес, незалежно від розміру чи галузі. Тeams і практики еволюціонували в міру збільшення масштабу і складності. У результаті «сучасне програмне забезпечення більше збирається, ніж пишеться», — каже Дженніфер Чаплевскі, старший директор компанії Target, де вона очолює DevSecOps і безпеку кінцевих точок; вона також є членом програмного комітету конференції RSA. Це не просто думка. Оцінки того, скільки програмного забезпечення в галузі включає компоненти з відкритим кодом — код, на який безпосередньо спрямовані атаки малих і великих розмірів — діапазон від 70% до майже 100%, створюючи величезну, мінливу поверхню атаки для захисту та важливу зону фокусування для кожного ланцюга постачання.
Збірка коду створює широко поширені залежності — і транзитивні залежності — як природні артефакти. Ці залежності набагато глибші, ніж фактичний код, і командам, які його впроваджують, також потрібно краще розуміти процеси, які використовуються для його запуску, тестування та підтримки.
Майже кожна організація сьогодні неминуче покладається на відкритий код, що стимулює попит на кращі способи оцінки ризиків, використання каталогів, відстеження впливу та прийняття обґрунтованих рішень до, під час і після включення компонентів з відкритим кодом у стеки програмного забезпечення.
Побудова довіри та компоненти для успіху
Відкритий код — це не лише технологічна проблема. Або проблема процесу. Або проблема людей. Це справді стосується всього, і розробники, керівники інформаційної безпеки (CISO) і політики — усі відіграють певну роль. Прозорість, співпраця та спілкування між усіма цими групами є ключовими для формування критичної довіри.
Однією з центральних точок для побудови довіри є спеціальна програма програмного забезпечення (SBOM), популярність якої зросла після Указ президента Байдена від травня 2021 року. Ми починаємо бачити відчутні спостереження вимірних переваг від його впровадження, включаючи контроль і видимість активів, швидший час реагування на вразливості та загальне краще керування життєвим циклом програмного забезпечення. Тяга SBOM, здається, породила додаткові BOM, серед яких DBOM (дані), HBOM (апаратне забезпечення), PBOM (конвеєр) і CBOM (кібербезпека). Час покаже, чи переваги переважать важкий обов’язок уважності, покладений на розробників, але багато хто сподівається, що рух BOM може призвести до єдиного способу мислення та підходу до проблеми.
Додаткові політики та співпраця, в тому числі Закон про захист програмного забезпечення з відкритим кодом, Рівні ланцюга поставок для структури програмних артефактів (SLSA). та NIST's Secure Software Development Framework (SSDF), схоже, заохочують практики, які зробили відкритий вихідний код таким повсюдним — колективна спільнота, яка працює разом з метою забезпечення безпечного ланцюга постачання програмного забезпечення за умовчанням.
Відвертий акцент на «мінусах» навколо відкритого вихідного коду та маніпуляціях, атаках і націлюванні на нього породив нові зусилля щодо пом’якшення пов’язаних із цим ризиків як за допомогою процесів розробки та звітів, так і технологій. В першу чергу інвестуються, щоб уникнути потрапляння шкідливих компонентів. Цей самоаналіз і навчання в реальному житті щодо розробки програмного забезпечення, життєвого циклу розробки програмного забезпечення (SDLC) і ланцюжка поставок в цілому є неймовірно корисними для спільноти на цьому етапі.
Насправді відкритий вихідний код може значно принести користь ... відкритому коду! Розробники покладаються на інструменти з відкритим вихідним кодом, щоб інтегрувати важливі елементи керування безпекою як частину постійна інтеграція/безперервна доставка (CI/CD). Постійні зусилля щодо забезпечення ресурсами, такими як Система показників OpenSSF, з його обіцянкою автоматизованого підрахунку балів, і Платформа безпечного ланцюга поставок (SSC) програмного забезпечення з відкритим вихідним кодом (OSS)., орієнтований на споживання фреймворк, призначений для захисту розробників від реальних загроз ланцюга поставок OSS, є лише двома прикладами багатообіцяючої діяльності, яка підтримуватиме команди під час збирання програмного забезпечення.
Разом сильніші
Відкритий вихідний код є і буде змінити програмне забезпечення гри. Це вплинуло на те, як світ створює програмне забезпечення. Це допомогло прискорити вихід на ринок. Це стимулювало інновації та скоротило витрати на розробку. Можливо, це позитивно вплинуло на безпеку, але над цим ще потрібно попрацювати. А для створення безпечнішого світу потрібно об’єднання села, щоб поділитися ідеями та найкращими практиками з громадою.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-
- 2021
- 2023
- 7
- a
- МЕНЮ
- через
- діяльності
- Додатковий
- після
- проти
- ВСІ
- серед
- та
- будь
- підходи
- наближається
- ПЛОЩА
- сперечатися
- навколо
- зібраний
- Активи
- асоційований
- атака
- нападки
- Автоматизований
- ставати
- перед тим
- буття
- корисний
- користь
- Переваги
- КРАЩЕ
- передового досвіду
- Краще
- біден
- Білл
- широкий
- Створюємо
- Будує
- бізнес
- call
- який
- каталог
- ланцюг
- головний
- код
- співробітництво
- Співробітництво
- Collective
- майбутній
- комітет
- Комунікація
- співтовариство
- складність
- Компоненти
- конференція
- Конгрес
- мінуси
- продовжувати
- триває
- контроль
- управління
- витрати
- може
- створює
- створення
- критичний
- Кібербезпека
- цикл
- рішення
- глибокий
- глибше
- доставка
- Попит
- розгорнути
- призначений
- розробників
- розробка
- безпосередньо
- Директор
- обговорення
- керований
- під час
- екосистема
- зусилля
- заохочувати
- Кінцева точка
- Захист кінцевої точки
- забезпечення
- Весь
- Оцінки
- Кожен
- все
- все
- еволюціонували
- Приклади
- виконавчий
- Досліди
- Перший
- Сфокусувати
- Forbes
- Рамки
- від
- даний
- мета
- великий
- значно
- Групи
- апаратні засоби
- допоміг
- Як
- HTTPS
- величезний
- ідеї
- Impact
- реалізація
- in
- includes
- У тому числі
- включення
- збільшений
- неймовірний
- неймовірно
- промисловість
- інформація
- інформаційна безпека
- повідомив
- інновація
- інтегрувати
- інвестиції
- питання
- IT
- Дженніфер
- ключ
- великий
- вести
- Веде за собою
- рівні
- життя
- життєвий цикл
- серія
- made
- підтримувати
- зробити
- управління
- Маніпуляція
- багато
- ринок
- Матеріали
- член
- члени
- просто
- може бути
- умів
- Пом'якшити
- сучасний
- більше
- найбільш
- руху
- Природний
- майже
- Необхідність
- Нові
- nist
- Пропозиції
- офіцерів
- ONE
- відкрити
- з відкритим вихідним кодом
- Думка
- організація
- Нам
- загальний
- власний
- частина
- Люди
- трубопровід
- місце
- plato
- Інформація про дані Платона
- PlatoData
- Play
- точка
- Політика
- політиків
- популярність
- позитивний
- практики
- раніше
- Проблема
- процес
- процеси
- професіонали
- програма
- обіцянку
- перспективний
- захист
- забезпечувати
- put
- швидко
- RE
- Реальний світ
- Знижений
- Незалежно
- опора
- залишається
- Звіти
- ресурси
- відповідь
- результат
- Risk
- Роль
- RSA
- rsaconference
- прогін
- говорить
- шкала
- рахунок
- Сезон
- сектор
- безпечний
- забезпечення
- безпеку
- Здається,
- старший
- Поділитись
- ПЕРЕМІЩЕННЯ
- значний
- Розмір
- невеликий
- Знімок
- So
- Софтвер
- розробка програмного забезпечення
- Source
- вихідні
- швидкість
- витрачати
- Стеки
- Стажування
- Починаючи
- Матеріали
- такі
- поставка
- ланцюжка поставок
- підтримка
- поверхню
- приймає
- говорити
- Мета
- цільове
- націлювання
- команди
- Технологія
- тест
- Команда
- світ
- їх
- Мислення
- У цьому році
- загрози
- час
- times
- до
- сьогодні
- разом
- інструменти
- теми
- трек
- тяги
- прозорість
- Тенденції
- Довіряйте
- повсюдний
- розуміти
- використання
- Село
- видимість
- Уразливості
- способи
- Що
- Чи
- який
- всі
- широко поширений
- волі
- Work
- робочий
- світ
- запис
- письмовий
- рік
- зефірнет