现代软件：真正的内部是什么？

随着网络安全行业会议季的临近，看到社区成员渴望分享他们的经验真是令人难以置信。 有人可能会争辩说，征集发言人的过程提供了对整个网络安全生态系统集体思想的深入而广泛的了解。 在今年的“RSAC 2023 趋势报告征集”在开源内部和周围，与以前观察到的相比，开源变得更加普遍和孤立。 现代软件已经发生了变化，随之而来的是希望和风险。

现在还有人编写自己的软件吗？

毫不奇怪，网络安全专家会花很多时间谈论软件——它是如何组装、测试、部署和修补的。 软件对每个企业都有重大影响，无论规模或行业如何。 吨随着规模和复杂性的增加，团队和实践也在不断发展。 因此，“现代软件的组装多于编写，”Target 的高级主管 Jennifer Czaplewski 说，她负责 DevSecOps 和端点安全； 她还是 RSA 会议程序委员会成员。 这不仅仅是一种意见。 估计整个行业有多少软件包括开源组件——直接针对大大小小的攻击的代码—— 范围从 70% 到接近 100%，创造了一个巨大的、不断变化的攻击面来保护，以及每个人供应链的关键关注领域。

代码组装会创建广泛的依赖关系——和传递依赖关系——作为自然产物。 这些依赖关系比实际代码要深得多，合并它的团队还需要更好地了解用于运行、测试和维护它的过程。

如今，几乎每个组织都不可避免地依赖开源代码，这推动了对更好的方法的需求，这些方法可以在将开源组件纳入软件堆栈之前、期间和之后评估风险、分类使用、跟踪影响并做出明智的决策。

建立信任和成功要素

开源不仅仅是一个技术问题。 或者流程问题。 还是人的问题。 它确实涉及所有方面，开发人员、首席信息安全官 (CISO) 和政策制定者都发挥着作用。 所有这些群体之间的透明度、协作和沟通是建立关键信任的关键。

建立信任的一个重点是软件物料清单 (SBOM)，它在 拜登总统 2021 年 XNUMX 月的行政命令. 我们开始看到对其实施的可量化收益的切实观察，包括资产的控制和可见性、对漏洞的更快响应时间以及整体上更好的软件生命周期管理。 SBOM 的吸引力似乎催生了其他 BOM，其中包括 DBOM（数据)、HBOM（硬件）、PBOM（管道）和 CBOM（网络安全）。 时间会证明其带来的好处是否超过了开发人员所承担的繁重责任，但许多人希望 BOM 运动能够带来一种统一的思考和解决问题的方式。

其他政策和合作，包括 安全开源软件法, 软件工件 (SLSA) 框架的供应链级别及 NIST 的安全软件开发框架 (SSDF)，似乎鼓励使开源如此无处不在的做法——集体社区共同努力，以确保默认安全的软件供应链。

公开关注开源代码及其操纵、攻击和目标的“缺点”，催生了通过开发流程和报告以及技术来降低相关风险的新努力。 正在进行投资以避免首先摄取恶意组件。 这种围绕软件开发、软件开发生命周期 (SDLC) 和整个供应链的反省和现实学习对现阶段的社区非常有益。

事实上，开源可以极大地受益……开源！ 开发人员依靠开源工具将关键安全控制集成为 持续集成/持续交付（CI/CD）流水线。 继续努力提供资源，例如 OpenSSF记分卡，以其自动评分的承诺，以及 开源软件 (OSS) 安全供应链 (SSC) 框架，一个以消费为中心的框架，旨在保护开发人员免受现实世界的 OSS 供应链威胁，这只是在团队组装软件时支持团队的有前途活动的两个例子。

更强大

开源已经并将继续 改变软件游戏. 它影响了世界构建软件的方式。 它有助于加快上市时间。 它刺激了创新并降低了开发成本。 可以说，它对安全产生了积极影响，但仍有工作要做。 建设一个更安全的世界需要一个村庄走到一起，与更大的社区分享想法和最佳实践。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/modern-software-what-s-really-inside-