Siber güvenlik sektörü konferans sezonuna yaklaşırken, topluluk üyelerinin deneyimlerini paylaşmaya istekli olduğunu görmek inanılmaz. Konuşmacı çağrısı sürecinin, tüm siber güvenlik ekosisteminin kolektif zihinlerinde neler olduğuna dair derin ve geniş bir anlık görüntü sunduğu iddia edilebilir. Bu yılki en ilgi çekici tartışma konularından biri “RSAC 2023 Başvuru Eğilimleri Raporu Çağrısı“, daha önce gözlemlenenden daha yaygın ve daha az silo haline gelen açık kaynağın içinde ve çevresindeydi. Modern yazılım değişti ve bununla birlikte vaatler ve tehlikeler geliyor.
Artık Kendi Yazılımını Yazan Var mı?
Şaşırtıcı olmayan bir şekilde, siber güvenlik uzmanları, yazılım hakkında – nasıl bir araya getirildiği, test edildiği, konuşlandırıldığı ve yamalandığı – hakkında çok fazla zaman harcıyor. Yazılım, büyüklüğü veya sektörü ne olursa olsun her işletme üzerinde önemli bir etkiye sahiptir. Tölçek ve karmaşıklık arttıkça araçlar ve uygulamalar da gelişmiştir. Sonuç olarak, DevSecOps ve uç nokta güvenliğini yönettiği Target’ın kıdemli direktörü Jennifer Czaplewski, “Modern yazılım yazıldığından daha fazla bir araya getiriliyor” diyor; aynı zamanda RSA Konferansı program komitesi üyesidir. Bu sadece bir görüş değil. Sektördeki yazılımların ne kadarının açık kaynak bileşenleri (küçük ve büyük saldırılarda doğrudan hedeflenen kod) içerdiğine ilişkin tahminler %70 ile yaklaşık %100 arasında değişiyor ve bu da korunması gereken çok büyük, değişen bir saldırı yüzeyi ve kritik bir odak alanı oluşturuyor. herkesin tedarik zinciri.
Kodun derlenmesi, doğal yapılar olarak yaygın bağımlılıklar ve geçişli bağımlılıklar oluşturur. Bu bağımlılıklar gerçek koddan çok daha derindir ve onu dahil eden ekiplerin ayrıca onu çalıştırmak, test etmek ve sürdürmek için kullanılan süreçleri daha iyi anlamaları gerekir.
Bugün neredeyse her kuruluş, açık kaynak bileşenlerini yazılım yığınlarına dahil etmeden önce, sırasında ve sonrasında riski değerlendirmenin, katalog kullanımını, etkiyi izlemenin ve bilinçli kararlar almanın daha iyi yollarına yönelik talebi yönlendiren açık kaynak koduna kaçınılmaz bir güven duyuyor.
Güven Oluşturma ve Başarı İçin Bileşenler
Açık kaynak sadece bir teknoloji sorunu değildir. Veya bir süreç sorunu. Ya da bir insan sorunu. Gerçekten her şeyi kapsıyor ve geliştiriciler, baş bilgi güvenliği görevlileri (CISO’lar) ve politika yapıcıların hepsi bir rol oynuyor. Tüm bu gruplar arasında şeffaflık, işbirliği ve iletişim, kritik güven oluşturmanın anahtarıdır.
Güven oluşturmanın odak noktalarından biri, yazılım ürün reçetesidir (SBOM). Başkan Biden’ın Mayıs 2021 tarihli icra emri. Varlıkların kontrolü ve görünürlüğü, güvenlik açıklarına daha hızlı yanıt süreleri ve genel olarak daha iyi yazılım yaşam döngüsü yönetimi dahil olmak üzere, uygulanmasından elde edilen ölçülebilir faydaların somut gözlemlerini görmeye başlıyoruz. SBOM’un çekiş gücü, aralarında DBOM (veri), HBOM (donanım), PBOM (boru hattı) ve CBOM (siber güvenlik). Yararların geliştiricilerin üzerine yüklenen ağır sorumluluktan daha ağır basıp basmadığını zaman gösterecek, ancak çoğu kişi BOM hareketinin bir sorun hakkında tekdüze bir düşünme ve soruna yaklaşma yoluna yol açabileceğinden umutlu.
Aşağıdakiler dahil olmak üzere ek politikalar ve işbirlikleri Açık Kaynak Yazılımını Koruma Yasası, Software Artifacts (SLSA) çerçevesi için tedarik zinciri DüzeyleriVe NIST’in Güvenli Yazılım Geliştirme Çerçevesi (SSDF)açık kaynağı bu kadar yaygın hale getiren uygulamaları – varsayılan olarak güvenli bir yazılım tedarik zinciri sağlamak amacıyla birlikte çalışan kolektif topluluk – teşvik ediyor gibi görünüyor.
Açık kaynak kodu ve bunun manipülasyonu, saldırıları ve hedeflenmesi etrafındaki “eksilere” açıkça odaklanmak, hem geliştirme süreçleri ve raporları hem de teknoloji ile ilgili riski azaltmak için yeni çabalar doğurdu. İlk etapta kötü amaçlı bileşenlerin alınmasını önlemek için yatırımlar yapılıyor. Yazılım geliştirme, yazılım geliştirme yaşam döngüsü (SDLC) ve bir bütün olarak tedarik zinciri etrafındaki bu iç gözlem ve gerçek hayattan öğrenilenler, bu aşamada topluluk için inanılmaz derecede faydalıdır.
Aslında, açık kaynak büyük fayda sağlayabilir… açık kaynak! Geliştiriciler, kritik güvenlik kontrollerini entegre etmek için açık kaynak araçlarına güvenirler. sürekli entegrasyon/sürekli teslimat (CI/CD) boru hattı. gibi kaynakların sağlanmasına yönelik sürekli çabalar OpenSSF puan kartıotomatik puanlama vaadiyle ve Açık Kaynak Yazılım (OSS) Güvenli Tedarik Zinciri (SSC) Çerçevesigeliştiricileri gerçek dünyadaki OSS tedarik zinciri tehditlerine karşı korumak için tasarlanmış tüketim odaklı bir çerçeve olan , yazılımları bir araya getirirken ekipleri destekleyecek gelecek vaat eden etkinliklerden yalnızca iki tanesidir.
Birlikte daha güçlü
Açık kaynak var ve olmaya devam edecek yazılım oyununu değiştir. Dünyanın yazılım oluşturma şeklini etkiledi. Pazara çıkış süresinin hızlanmasına yardımcı oldu. İnovasyonu teşvik etti ve geliştirme maliyetlerini düşürdü. Muhtemelen, güvenlik üzerinde olumlu bir etkisi oldu, ancak daha yapılacak işler var. Ve daha güvenli bir dünya inşa etmek, fikirleri ve en iyi uygulamaları daha büyük toplulukla paylaşmak için bir köyün bir araya gelmesini gerektirir.