Programvara och säkerhet: Hur man flyttar försörjningskedjans säkerhet upp på agendan

KOMMENTAR

Efter log4j, är programvaruförsörjningskedjor under mer granskning för säkerhetsproblem. USA:s regering mandat programvaruförteckningar (SBOM) för federala programvaruprojekt så att säkerhetsteam kan förstå eventuella risker från programvarukomponenter. Cybersecurity and Infrastructure Security Agency (CISA), EU-kommissionen, Storbritanniens nationella cybersäkerhetscenter och Japan samarbetar för att göra SBOM mer användbara och mer värdefulla.

Det finns dock problem att övervinna. Att faktiskt implementera SBOM är fortfarande nere på prioriteringslistan för många chefer för informationssäkerhet (CISO). När jag frågade CISOs i Storbritannien varför, handlade det om prioritering. När du har så många problem att hantera, hur mycket värde ger en SBOM idag?

Vid sidan av detta har du frågan om vem som är ansvarig för att underhålla den inblandade programvaran. Är detta en förstapartsapplikation som ditt interna team har satt ihop, eller en tredjepartsapplikation som du har köpt från en leverantör? Vad sägs om outsourcad programvara utvecklad för din organisation av en tredjepartsutvecklare? Vem ska bära ansvaret för att hantera SBOM samt koden?

Software Supply Chain Security och tilldela ansvar

I mjukvaruvärlden är det utmanande att spåra vad som används, eftersom arbetsbelastningar kan skapas och stoppas från minut till minut baserat på efterfrågan. Men att ha korrekta listor över vad som är installerat, vad som körs och vad som kan vara sårbart kommer att vara viktigt när det gäller att hantera risker.

Allt detta är vettigt i teorin. Så varför faller det ner på prioritetslistan för både CISO:er, säkerhetsteam och utvecklare? Utmaningen är hur dessa program rullas ut i praktiken. Med så mycket IT att ta hand om, så många förändringar som äger rum och så mycket programvara att spåra, kan data överväldiga team.

Att etablera ansvar för applikationssäkerhet och hantering måste fokusera på praktiska ansvarsområden. Till exempel byggs mjukvara ofta av outsourcade leverantörer. Dessa kontrakt bör inkludera SBOM-leverans som en del av uppdraget för utveckling, samt vem som kommer att ansvara för att upprätthålla den dokumentationen över tiden. Det viktigaste är att någon ställs till svars och att resten av organisationen känner till sitt ansvar också.

Hjälper team att samarbeta effektivt

SBOMs mognar snabbt, men de har fortfarande en väg kvar att gå innan de standardiseras. Säkerhetsfrågorna blir alltför ofta den ökända heta potatisen, som skickas vidare så snabbt som möjligt till nästa person. Att tilldela utvecklare hundratals eller tusentals programvaruproblem att åtgärda gör inte magiskt att dessa korrigeringar händer; i själva verket kan det leda till fler problem eftersom teamen inte vet vad de ska koncentrera sig på.

För att lösa detta måste vi implementera bättre praxis kring säkerhet i mjukvaruförsörjningskedjan, till att börja med SBOM och tillgångshantering och följt av ordentliga prioriteringsdiskussioner mellan säkerhets- och utvecklarteam. Båda teamen måste automatisera mer av processen kring att åtgärda problem eller distribuera uppdateringar.

På säkerhetssidan kommer detta att innebära automatisk patchning för lågriskproblem. För utvecklare kommer det att innebära implementering av säkerhet genom design-praxis. IT-säkerhet kan tillhandahålla verktyg som integreras i utvecklarnas arbetsflöden tidigt, så att problem kan åtgärdas tidigare. Säkerhet kan också hjälpa genom att flagga andra sätt att ta bort problem.

Till exempel hade en CISO jag arbetade med demoraliserat team inom både säkerhets- och mjukvaruutveckling. Mer än en miljon programvaruproblem och säkerhetssårbarheter fanns i slutpunkter, applikationer och infrastruktur. För att få reda på grundorsaken till detta problem tittade vi på var problemen fanns. Det som snabbt blev uppenbart var att det inte fanns någon direkt ansvarig för uppdateringar i mjukvarubildbibliotek. Båda sidor arbetade hårt för att hantera problem, men varje gång en ny bild skapades från det biblioteket skulle de "gamla" frågorna komma tillbaka igen. Dessa bilder innehöll också flera versioner av Java, vilket gjorde dem ansvariga för hundratals sårbarhetsdetektioner per bild.

Att få alla runt ett bord och fixa dessa bilder minskade antalet sårbarheter och varningar dramatiskt. Teamet såg att antalet enastående sårbarheter sjönk med hälften, vilket frigjorde tid och fick båda sidor att uppskatta den andra mer.

Denna typ av diskussion är inte möjlig utan data. Att få mer insikt hjälper dig att prioritera över alla dina system, inklusive programvara från första part, så att du kan driva mer samarbete, verklig förändring och verklig framgång för dina team.

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/vulnerabilities-threats/software-security-how-to-move-supply-chain-security-up-the-agenda

Generativ dataintelligens

Programvara och säkerhet: Hur man flyttar leveranskedjans säkerhet upp på agendan

Software Supply Chain Security och tilldela ansvar

Hjälper team att samarbeta effektivt

Mobil

Bästa tre Rek'Sai Counters League of Legends

Senaste intelligens

Atlanta Fed GDPNow Q2 tillväxtuppskattning faller till 3.3% från 3.9% | Forexlive

För referens: Här är FOMC-utlåtandet den 20 mars | Forexlive

Dow Jones kämpar för att återhämta sig från den senaste backsliden när Fed rundar hörnet

Utforska det inflytelserika ledarskapsarvet från Wilbert T. Lee: A Philippine Congressional Force.

Mexikansk peso stiger mot US-dollar inför viktiga FOMC-beslut

Quetzi är en ny snurr på det klassiska ormspelet med gudar och mytologi