Сучасне програмне забезпечення: що насправді всередині?

Оскільки галузь кібербезпеки наближається до сезону конференцій, неймовірно бачити членів спільноти, які прагнуть поділитися своїм досвідом. Хтось може заперечити, що процес виклику доповідачів пропонує глибокий і широкий знімок того, що є в колективних думках усієї екосистеми кібербезпеки. Одна з найцікавіших тем для обговорення цьогорічного “Звіт про тенденції конкурсу RSAC 2023” був у відкритому коді та навколо нього, який став більш повсюдним і менш закритим, ніж спостерігалося раніше. Сучасне програмне забезпечення змінилося, а з ним прийшли обіцянки та небезпеки.

Хтось більше пише власне програмне забезпечення?

Не дивно, що фахівці з кібербезпеки витрачають багато часу на розмови про програмне забезпечення — як воно збирається, тестується, розгортається та виправляється. Програмне забезпечення має значний вплив на кожен бізнес, незалежно від розміру чи галузі. Тeams і практики еволюціонували в міру збільшення масштабу і складності. У результаті «сучасне програмне забезпечення більше збирається, ніж пишеться», — каже Дженніфер Чаплевскі, старший директор компанії Target, де вона очолює DevSecOps і безпеку кінцевих точок; вона також є членом програмного комітету конференції RSA. Це не просто думка. Оцінки того, скільки програмного забезпечення в галузі включає компоненти з відкритим кодом — код, на який безпосередньо спрямовані атаки малих і великих розмірів — діапазон від 70% до майже 100%, створюючи величезну, мінливу поверхню атаки для захисту та важливу зону фокусування для кожного ланцюга постачання.

Збірка коду створює широко поширені залежності — і транзитивні залежності — як природні артефакти. Ці залежності набагато глибші, ніж фактичний код, і командам, які його впроваджують, також потрібно краще розуміти процеси, які використовуються для його запуску, тестування та підтримки.

Майже кожна організація сьогодні неминуче покладається на відкритий код, що стимулює попит на кращі способи оцінки ризиків, використання каталогів, відстеження впливу та прийняття обґрунтованих рішень до, під час і після включення компонентів з відкритим кодом у стеки програмного забезпечення.

Побудова довіри та компоненти для успіху

Відкритий код — це не лише технологічна проблема. Або проблема процесу. Або проблема людей. Це справді стосується всього, і розробники, керівники інформаційної безпеки (CISO) і політики — усі відіграють певну роль. Прозорість, співпраця та спілкування між усіма цими групами є ключовими для формування критичної довіри.

Однією з центральних точок для побудови довіри є спеціальна програма програмного забезпечення (SBOM), популярність якої зросла після Указ президента Байдена від травня 2021 року. Ми починаємо бачити відчутні спостереження вимірних переваг від його впровадження, включаючи контроль і видимість активів, швидший час реагування на вразливості та загальне краще керування життєвим циклом програмного забезпечення. Тяга SBOM, здається, породила додаткові BOM, серед яких DBOM (дані), HBOM (апаратне забезпечення), PBOM (конвеєр) і CBOM (кібербезпека). Час покаже, чи переваги переважать важкий обов’язок уважності, покладений на розробників, але багато хто сподівається, що рух BOM може призвести до єдиного способу мислення та підходу до проблеми.

Додаткові політики та співпраця, в тому числі Закон про захист програмного забезпечення з відкритим кодом, Рівні ланцюга поставок для структури програмних артефактів (SLSA). та NIST's Secure Software Development Framework (SSDF), схоже, заохочують практики, які зробили відкритий вихідний код таким повсюдним — колективна спільнота, яка працює разом з метою забезпечення безпечного ланцюга постачання програмного забезпечення за умовчанням.

Відвертий акцент на «мінусах» навколо відкритого вихідного коду та маніпуляціях, атаках і націлюванні на нього породив нові зусилля щодо пом’якшення пов’язаних із цим ризиків як за допомогою процесів розробки та звітів, так і технологій. В першу чергу інвестуються, щоб уникнути потрапляння шкідливих компонентів. Цей самоаналіз і навчання в реальному житті щодо розробки програмного забезпечення, життєвого циклу розробки програмного забезпечення (SDLC) і ланцюжка поставок в цілому є неймовірно корисними для спільноти на цьому етапі.

Насправді відкритий вихідний код може значно принести користь ... відкритому коду! Розробники покладаються на інструменти з відкритим вихідним кодом, щоб інтегрувати важливі елементи керування безпекою як частину постійна інтеграція/безперервна доставка (CI/CD). Постійні зусилля щодо забезпечення ресурсами, такими як Система показників OpenSSF, з його обіцянкою автоматизованого підрахунку балів, і Платформа безпечного ланцюга поставок (SSC) програмного забезпечення з відкритим вихідним кодом (OSS)., орієнтований на споживання фреймворк, призначений для захисту розробників від реальних загроз ланцюга поставок OSS, є лише двома прикладами багатообіцяючої діяльності, яка підтримуватиме команди під час збирання програмного забезпечення.

Разом сильніші

Відкритий вихідний код є і буде змінити програмне забезпечення гри. Це вплинуло на те, як світ створює програмне забезпечення. Це допомогло прискорити вихід на ринок. Це стимулювало інновації та скоротило витрати на розробку. Можливо, це позитивно вплинуло на безпеку, але над цим ще потрібно попрацювати. А для створення безпечнішого світу потрібно об’єднання села, щоб поділитися ідеями та найкращими практиками з громадою.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-