جلسات درخواستی از اجلاس Low-Code/No-Code را بررسی کنید تا بیاموزید چگونه با ارتقاء مهارت و مقیاسبندی توسعهدهندگان شهروند، نوآوری موفقیتآمیز و دستیابی به کارایی داشته باشید. الان ببین.
زنجیرههای تامین نرمافزار اهداف نرمی برای مهاجمانی هستند که به دنبال سرمایهگذاری بر عدم شفافیت، دید و امنیت کتابخانههای منبع باز هستند که برای جاسازی کدهای مخرب برای توزیع گسترده استفاده میکنند. علاوه بر این، زمانی که شرکتها نمیدانند کتابخانههای کد یا بستههای مورد استفاده در نرمافزارشان از کجا سرچشمه میگیرد، خطرات امنیتی و انطباق بیشتری ایجاد میکند.
آخرین گزارش تحلیل ریسک و امنیت منبع باز Synopsys نشان داد که 97٪ کدهای تجاری حاوی کد منبع باز و 81٪ حداقل دارای یک آسیب پذیری هستند. علاوه بر این، 53 درصد از پایگاه های کد تجزیه و تحلیل شده دارای تضاد مجوز بودند و 85 درصد حداقل چهار سال از تاریخ گذشته بودند.
معمولاً تیم های توسعه از کتابخانه ها و بسته های موجود در GitHub و دیگر مخازن کد استفاده می کنند. صورتحسابهای مواد نرمافزاری (SBOM) برای پیگیری هر نرمافزار منبع باز (OSS) و کتابخانه مورد استفاده در فرآیند توسعه، از جمله زمانی که وارد چرخه عمر توسعه نرمافزار (SDLC) میشود، مورد نیاز است.
تامین امنیت زنجیره های تامین نرم افزار
رهبران توسعه نرم افزار باید اقدام کنند و SBOM ها را در سراسر SDLC و گردش کار خود ادغام کنند تا از خطر خراب کردن کدهای Log4j و مؤلفه های OSS آلوده مشابه آنها جلوگیری کنند و سیستم مشتریان خود را آلوده کنند. تجزیه و تحلیل ترکیب نرمافزار (SCA) و SBOMهایی که آنها ایجاد میکنند، ابزارهایی را برای تیمهای توسعهدهنده فراهم میکنند که برای ردیابی مکانهایی که اجزای منبع باز استفاده میشوند، نیاز دارند. یکی از اهداف حیاتی پذیرش SBOM ها، ایجاد و نگهداری موجودی در محل و نحوه استفاده از هر جزء منبع باز است.
رویداد
اجلاس امنیت هوشمند
نقش حیاتی AI و ML در امنیت سایبری و مطالعات موردی خاص صنعت را در 8 دسامبر بیاموزید. امروز برای پاس رایگان خود ثبت نام کنید.
اکنون ثبت نام کنید
جانت ورتینگتون، تحلیلگر ارشد در Forrester، در مصاحبه اخیر با VentureBeat گفت: «فقدان شفافیت در مورد خرید، خرید و استقرار نرمافزارهای سازمانها بزرگترین مانع در بهبود امنیت زنجیره تأمین است.
فرمان اجرایی 14028 کاخ سفید در مورد بهبود امنیت سایبری کشور، فروشندگان نرم افزار را ملزم به ارائه SBOM می کند. EO 14028 با الزام NTIA، NIST و سایر سازمانهای دولتی، شفافیت و دید بیشتری را در فرآیند خرید و تدارک نرمافزار در طول چرخه عمر محصول خود فراهم میکند، بر روی رفع کمبود دیده شدن زنجیره تامین نرمافزار تمرکز دارد.
علاوه بر این، دستور اجرایی الزام میکند که سازمانهای عرضهکننده نرمافزار باید اطلاعاتی را نه تنها در مورد تأمینکنندگان مستقیم، بلکه تأمینکنندگان تأمینکنندگان خود، تأمینکنندگان ردیف 2، ردیف 3 و ردیف n ارائه دهند. مرکز منابع نرم افزاری لایحه مواد آژانس امنیت سایبری و امنیت زیرساخت (CISA) نیز منابع ارزشمندی را برای CISO ها فراهم می کند تا در SBOM ها سرعت بگیرند.
EO 14028 در 14 سپتامبر سال جاری با یادداشتی که توسط مدیر دفتر مدیریت و بودجه (OMB) به روسای ادارات و سازمانهای قوه مجریه تنظیم شده بود، پیگیری شد تا نیاز به افزایش امنیت زنجیره تامین نرمافزار فدرال بیشتر شود. بیش از آنچه که فرمان اجرایی خواسته بود.
مت رز، از بخش CISO ReversingLabs گفت: “ترکیب دستور اجرایی و یادداشت به این معنی است که SBOM ها در آینده نه چندان دور مهم خواهند بود.” نکته قابل توجه در مورد این یادداشت این است که آژانسها را ملزم میکند تا از ارائهدهندگان نرمافزار خود تأیید کنند که تیمهای توسعهدهنده آنها فرآیندهای توسعه امن تعریفشده در چارچوب توسعه نرمافزار امن NIST (SP 800-218) و راهنمای امنیت زنجیره تأمین نرمافزار NIST را دنبال کنند.
SBOM به ایجاد کد قابل اعتماد در مقیاس کمک می کند
ادغام SBOM ها در سراسر فرآیندهای توسعه، بیش از انطباق با EO 14028، تضمین می کند که هر شریک پایین دستی، مشتری، سازمان پشتیبانی و نهاد دولتی، برنامه های قابل اعتماد ساخته شده بر اساس کد محکم و ایمن را دریافت می کند. SBOM ها بیشتر از محافظت از کد انجام می دهند. آنها همچنین از برندها و شهرت سازمان های ارسال کننده نرم افزار در سطح جهانی، به ویژه برنامه ها و پلتفرم های مبتنی بر وب محافظت می کنند.
بی اعتمادی فزاینده ای به هر کدی که مستند نیست، به ویژه از سوی سازمان های خرید و تدارکات دولتی وجود دارد. چالش بسیاری از ارائه دهندگان نرم افزار، دستیابی به یک استراتژی شیفت چپ موفق تر در هنگام ادغام SBOM و SCA در فرآیند یکپارچه سازی/تحویل پیوسته (CI/CD) آنها است. امنیت Shift-left به دنبال بستن شکاف هایی است که مهاجمان برای تزریق کد مخرب به محموله ها به دنبال آن هستند.
CISOها و CIOها به طور فزاینده ای متوجه می شوند که برای حرکت سریع و دستیابی به اهداف تجاری، تیم ها باید فرهنگ توسعه ایمن را در آغوش بگیرند. توسعه یک خط لوله توسعه خودکار به تیم ها اجازه می دهد تا به طور مکرر و با اطمینان مستقر شوند، زیرا تست های امنیتی از مراحل اولیه تعبیه شده است. ورثینگتون توصیه کرد که در نتیجه یک مشکل امنیتی که به سمت تولید فرار می کند، داشتن یک خط لوله قابل تکرار امکان بازگرداندن کد متخلف را بدون تأثیرگذاری بر سایر عملیات ها فراهم می کند.
CISO همچنین باید در حال حاضر با تعاریف رسمی SBOM ها آشنا شوند، به خصوص اگر آنها بخشی از یک زنجیره تامین نرم افزار هستند که برنامه های کاربردی را در اختیار دولت فدرال قرار می دهد. استانداردهای رسمی شامل تبادل داده بسته نرم افزاری (SPDX)، برچسب شناسه نرم افزاری (SWID) و CycloneDX است. از این میان، CycloneDX رایج ترین استاندارد مورد استفاده است. هدف این استانداردها ایجاد یک قالب تبادل داده و یک زیرساخت مشترک است که جزئیات هر بسته نرم افزاری را به اشتراک می گذارد. در نتیجه، سازمانهایی که این استانداردها را اتخاذ میکنند، متوجه میشوند که در رفع و حل قطعیها در زمان صرفهجویی میکنند و در عین حال همکاری و سرعت انجام پروژههای مشترک را افزایش میدهند.
برای SBOM ها، انطباق فقط شروع است
EO 14028 و یادداشت متعاقب آن تنها آغاز الزامات انطباق است که تیم های توسعه دهنده و سازمان های آنها باید از آنها پیروی کنند تا بخشی از زنجیره تامین نرم افزار دولت فدرال باشند. الزامات SBOM از کمیسیون تنظیم مقررات انرژی فدرال (FERC)، سازمان غذا و دارو (FDA) و آژانس امنیت سایبری اتحادیه اروپا (ENISA) نیز اکنون به قابلیت مشاهده و ردیابی SBOM به عنوان پیش نیاز برای انجام تجارت نیاز دارند. با تبدیل شدن SBOM ها به این که چگونه دولت های ایالات متحده و اروپا تعیین می کنند با چه کسی و چگونه تجارت کنند، CISO ها باید این حوزه را در سال 2023 در اولویت قرار دهند.
ماموریت VentureBeat این است که یک میدان شهر دیجیتال برای تصمیم گیرندگان فنی باشد تا دانشی در مورد فناوری سازمانی متحول کننده کسب کنند و معامله کنند. جلسات توجیهی ما را کشف کنید.