Tel Aviv, İsrail, 1 Şubat 2023 /PRNewswire/ — ÖKÜZ Güvenliğiilk uçtan uca yazılım tedarik zinciri güvenlik çözümü olan , bugün lansmanını duyurdu OSC&R (Açık Yazılım Tedarik Zinciri Saldırı Referansı), tüm yazılım tedarik zinciri güvenliğine yönelik mevcut tehditleri anlamak ve değerlendirmek için ilk ve tek açık çerçeve.
OSC&R’nin arkasındaki siber güvenlik liderlerinden oluşan kurucu konsorsiyum şunları içerir: David Haç, eski Microsoft ve Google bulut güvenlik yöneticisi; OX Security’nin Kurucu Ortağı ve CEO’su Neatsun Ziv; Lior Arzi, OX Security’de Kurucu Ortak ve CPO; GitLab Kıdemli Güvenlik Mühendisi Hiroki Suezawa; Eyal PazOX Security’de Araştırma Başkanı; Phil Dörtlü, Fortinet’te eski CISO; Dr. Chenxi Wangeski OWASP Global Yönetim Kurulu üyesi; Shai SivanKaltura’da CISO; Naor Penso, FICO’da Ürün Güvenliği Başkanı; Ve Roy FeintuchCheck Point Technologies’in eski Bulut CTO’su.
Yüzlerce endüstri lideriyle yapılan tartışmalar, uzmanların tedarik zinciri riskini daha iyi anlamasına ve ölçmesine olanak tanıyan MITRE benzeri bir çerçeveye yönelik çok somut bir ihtiyaç olduğunu ortaya çıkardı; bu süreç, şimdiye kadar yalnızca sezgi ve deneyime dayanabiliyordu. OSC&R, yazılım tedarik zincirlerinin güvenliğini tehlikeye atmak için saldırganlar tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) anlamak ve analiz etmek için ortak bir dil ve yapı sağlamak üzere tasarlanmıştır.
OX’i kurmadan önce Check Point’in Siber Güvenlikten Sorumlu Başkan Yardımcısı olarak görev yapan Neatsun Ziv, “Yazılım tedarik zincirini neyin oluşturduğuna dair ortak bir anlayış olmadan tedarik zinciri güvenliği hakkında konuşmaya çalışmak verimli değil,” dedi. “Yazılım tedarik zincirinin üzerinde anlaşmaya varılmış bir tanımı olmadan, güvenlik stratejileri genellikle silo halindedir.”
OSC&R artık güvenlik ekipleri tarafından mevcut savunmaları değerlendirmek ve hangi tehditlere öncelik verilmesi gerektiğini, mevcut kapsamın bu tehditleri nasıl ele aldığını belirlemek ve ayrıca saldırgan gruplarının davranışlarını izlemeye yardımcı olmak için kullanılmaya hazır.
Gitlab Kıdemli Güvenlik Mühendisi Hiroki Suezawa, “OSC&R, güvenlik ekiplerinin güvenlik stratejilerini güvenle oluşturmalarına yardımcı oluyor” dedi. “Güvenlik topluluğuna, yazılım tedarik zincirlerini güvence altına almak için kendi stratejilerini proaktif olarak değerlendirmek ve çözümleri karşılaştırmak için tek bir referans noktası vermek istedik” diye devam etti.
OSC&R çerçevesi, yeni taktikler ve teknikler ortaya çıktıkça ve geliştikçe güncellenecektir. Ayrıca, hem test sırasında hem de sonrasında bir puan kartı görevi görerek, bir pentest veya kırmızı takım tatbikatı için gerekli kapsamın belirlenmesine yardımcı olarak kırmızı takım faaliyetlerine yardımcı olacaktır. Çerçeve artık diğer siber güvenlik liderlerine ve uygulayıcılarına da OSC&R’ye katkıda bulunmaları için açık olacak.
“OSC&R çerçevesinin, kuruluşların saldırı yüzeylerini azaltmalarına yardımcı olacağına inanıyorum” dedi. Naor Penso, FICO’da Ürün Güvenliği Başkanı. “Geleceğin güvenlik ortamı üzerinde böylesine büyük bir etkiye sahip olabilecek bir projede yer almaktan ve bilgimizi ve uzmanlığımızı paylaşmaktan gurur duyuyorum.”
OSC&R çerçevesi artık çevrimiçi: https://pbom.dev/
OX Güvenliği Hakkında
ÖKÜZ Güvenliği güvenliğin sonradan akla gelen bir şey değil, yazılım geliştirme sürecinin ayrılmaz bir parçası olması gerektiğine inanır. Neatsun Ziv tarafından kurulan ve Lior ArziDaha önce Check Point’in Güvenlik Grubuna liderlik etmiş olan OX, ilk uçtan uca yazılım tedarik zinciri güvenlik çözümüdür. OX, DevSecOps ekiplerine en erken planlama aşamalarından dağıtıma ve üretime kadar tedarik zincirinin her adımına güvenlik ve bütünlük getirmek için ihtiyaç duydukları otomasyon, görünürlük ve risk içgörülerini sağlar.
KAYNAK Öküz Güvenliği
