سلسلة إمداد البرمجيات: التهديدات الجديدة تستدعي اتخاذ تدابير أمنية جديدة
ألا تستطيع حضور Transform 2022؟ تحقق من جميع جلسات القمة في مكتبتنا عند الطلب الآن! انظر هنا.
تتكون سلسلة توريد البرامج المعاصرة من العديد من المكونات التي تدخل في تطويرها: الأشخاص والعمليات والاعتمادات والأدوات.
إنها تذهب إلى ما هو أبعد من رمز التطبيق - وعادة ما يكون التركيز الأساسي لأدوات DevSecOps الحالية.
وبالتالي ، تتطلب سلسلة توريد البرامج المعقدة بشكل متزايد اليوم طريقة جديدة تمامًا للأمان. ومع ذلك ، تكمن المعضلة في أن العديد من المؤسسات تكافح ليس فقط لتأمين سلاسل توريد البرامج الخاصة بها ، ولكن أيضًا لتحديدها.
قالت كاتي نورتون ، كبيرة محللي الأبحاث لدى Devops و DevSecOps في IDC: "إن التحدي المتمثل في تأمين سلسلة توريد البرامج كبير ومعقد لأي مؤسسة تقريبًا". "وتمثل نقاط الدخول العديدة إلى سلسلة توريد البرامج خطرًا كبيرًا لم تتم معالجته في العديد من المؤسسات." حدث
MetaBeat 2022
ستجمع MetaBeat قادة الفكر لتقديم المشورة بشأن الطريقة التي ستغير بها التكنولوجيا metaverse الطريقة التي تتواصل بها جميع الصناعات وتؤدي أعمالها في 4 أكتوبر في سان فرانسيسكو ، كاليفورنيا. سجل هنا نهج جديد
لمعالجة هذه المشكلة المتنامية ، أعلنت Chainguard اليوم عن Wolfi ، وهو توزيع لينكس (de) جديد قائم على المجتمع. فهو يجمع بين جوانب صور قاعدة الحاوية الحالية مع إجراءات الأمان الافتراضية التي ستتضمن توقيعات البرامج المدعومة من Sigstore والمصدر وفواتير المواد البرمجية (SBOM).
تعلن الشركة أيضًا عن إعلان Chainguard Academy ، أول منصة تعليمية تفاعلية مجانية ومفتوحة المصدر ومصممة لأمن سلسلة توريد البرمجيات. بالإضافة إلى ذلك ، منصة Chainguard Enforce الخاصة بها متاحة الآن بشكل عام.
قال دان لورينك ، المؤسس والرئيس التنفيذي لشركة Chainguard ، "أحد أكبر التهديدات لتأمين سلسلة توريد البرمجيات هي الطريقة التي نبني بها البرمجيات اليوم". "الأدوات التي نستخدمها لبناء البرامج لم يتم تصميمها لتناسب سرعة استخدامها وحجمها ، مما أدى إلى بنية فاشلة يسهل على الجهات الفاعلة السيئة استغلالها أو العبث بها."
تطرح الحكومات حول العالم أسئلة وتطالب بضمانات على البرامج. وبينما يقدم البائعون - الحاليون والجدد - الأدوات ، فإنهم يفشلون في معالجة المشكلة الأعمق: "الحاجة إلى تغيير جوهري في الطريقة التي يتم بها بناء البرامج ،" قال لورنك.
لكن أولاً: تحديد سلسلة توريد البرامجقدم تقرير IBM 2022 الأحدث عن تكلفة خرق البيانات إحدى الأفكار الأولى في أمان سلسلة التوريد ، وكشف أن ما يقرب من خمس المؤسسات عانت من خرق بسبب اختراق سلسلة توريد البرامج.
قال نورتون إن إحدى أكبر العقبات هي ببساطة التعرف على جميع الطرق المختلفة التي يمكن للجهات الخبيثة من خلالها استغلال سلسلة توريد البرامج وتحديدها.
عندما يتحدث الأشخاص عن "أمان سلسلة توريد البرامج" ، فإنهم غالبًا ما يفكرون في استغلال الثغرات الأمنية في البرامج مفتوحة المصدر مثل Log4Shell. لكن هذا فقط جزء من سطح الهجوم.
تتضمن بعض موجهات هجوم سلسلة التوريد التي حددها Norton تكوينات خاطئة وأسرارًا مشفرة في البنية التحتية كرمز (IaC) والتهيئة الخاطئة في خط أنابيب CI / CD التي يمكن أن تكشف معلومات حساسة أو يمكن استخدامها كنقطة دخول للبرامج الضارة الهجمات. نشاط. هناك تهديد آخر يتمثل في التنازل عن بيانات اعتماد المطور ، غالبًا بسبب سوء الإدارة أو الفشل في الالتزام بمبادئ الامتياز الأقل.
ثم هناك أدوات وتقنيات قرصنة متاحة بسهولة على الويب. قال نورتون: "المهارات المتقدمة ليست ضرورية لشخص ما لكسر سلسلة توريد البرامج الخاصة بشركتك".
والخبر السار هو أنه مع زيادة حالات استغلال الثغرات - ومعها ، الوعي المتزايد - برامج إضافية ...
ألا تستطيع حضور Transform 2022؟ تحقق من جميع جلسات القمة في مكتبتنا عند الطلب الآن! انظر هنا.
تتكون سلسلة توريد البرامج المعاصرة من العديد من المكونات التي تدخل في تطويرها: الأشخاص والعمليات والاعتمادات والأدوات.
إنها تذهب إلى ما هو أبعد من رمز التطبيق - وعادة ما يكون التركيز الأساسي لأدوات DevSecOps الحالية.
وبالتالي ، تتطلب سلسلة توريد البرامج المعقدة بشكل متزايد اليوم طريقة جديدة تمامًا للأمان. ومع ذلك ، تكمن المعضلة في أن العديد من المؤسسات تكافح ليس فقط لتأمين سلاسل توريد البرامج الخاصة بها ، ولكن أيضًا لتحديدها.
قالت كاتي نورتون ، كبيرة محللي الأبحاث لدى Devops و DevSecOps في IDC: "إن التحدي المتمثل في تأمين سلسلة توريد البرامج كبير ومعقد لأي مؤسسة تقريبًا". "وتمثل نقاط الدخول العديدة إلى سلسلة توريد البرامج خطرًا كبيرًا لم تتم معالجته في العديد من المؤسسات." حدث
MetaBeat 2022
ستجمع MetaBeat قادة الفكر لتقديم المشورة بشأن الطريقة التي ستغير بها التكنولوجيا metaverse الطريقة التي تتواصل بها جميع الصناعات وتؤدي أعمالها في 4 أكتوبر في سان فرانسيسكو ، كاليفورنيا. سجل هنا نهج جديد
لمعالجة هذه المشكلة المتنامية ، أعلنت Chainguard اليوم عن Wolfi ، وهو توزيع لينكس (de) جديد قائم على المجتمع. فهو يجمع بين جوانب صور قاعدة الحاوية الحالية مع إجراءات الأمان الافتراضية التي ستتضمن توقيعات البرامج المدعومة من Sigstore والمصدر وفواتير المواد البرمجية (SBOM).
تعلن الشركة أيضًا عن إعلان Chainguard Academy ، أول منصة تعليمية تفاعلية مجانية ومفتوحة المصدر ومصممة لأمن سلسلة توريد البرمجيات. بالإضافة إلى ذلك ، منصة Chainguard Enforce الخاصة بها متاحة الآن بشكل عام.
قال دان لورينك ، المؤسس والرئيس التنفيذي لشركة Chainguard ، "أحد أكبر التهديدات لتأمين سلسلة توريد البرمجيات هي الطريقة التي نبني بها البرمجيات اليوم". "الأدوات التي نستخدمها لبناء البرامج لم يتم تصميمها لتناسب سرعة استخدامها وحجمها ، مما أدى إلى بنية فاشلة يسهل على الجهات الفاعلة السيئة استغلالها أو العبث بها."
تطرح الحكومات حول العالم أسئلة وتطالب بضمانات على البرامج. وبينما يقدم البائعون - الحاليون والجدد - الأدوات ، فإنهم يفشلون في معالجة المشكلة الأعمق: "الحاجة إلى تغيير جوهري في الطريقة التي يتم بها بناء البرامج ،" قال لورنك.
لكن أولاً: تحديد سلسلة توريد البرامجقدم تقرير IBM 2022 الأحدث عن تكلفة خرق البيانات إحدى الأفكار الأولى في أمان سلسلة التوريد ، وكشف أن ما يقرب من خمس المؤسسات عانت من خرق بسبب اختراق سلسلة توريد البرامج.
قال نورتون إن إحدى أكبر العقبات هي ببساطة التعرف على جميع الطرق المختلفة التي يمكن للجهات الخبيثة من خلالها استغلال سلسلة توريد البرامج وتحديدها.
عندما يتحدث الأشخاص عن "أمان سلسلة توريد البرامج" ، فإنهم غالبًا ما يفكرون في استغلال الثغرات الأمنية في البرامج مفتوحة المصدر مثل Log4Shell. لكن هذا فقط جزء من سطح الهجوم.
تتضمن بعض موجهات هجوم سلسلة التوريد التي حددها Norton تكوينات خاطئة وأسرارًا مشفرة في البنية التحتية كرمز (IaC) والتهيئة الخاطئة في خط أنابيب CI / CD التي يمكن أن تكشف معلومات حساسة أو يمكن استخدامها كنقطة دخول للبرامج الضارة الهجمات. نشاط. هناك تهديد آخر يتمثل في التنازل عن بيانات اعتماد المطور ، غالبًا بسبب سوء الإدارة أو الفشل في الالتزام بمبادئ الامتياز الأقل.
ثم هناك أدوات وتقنيات قرصنة متاحة بسهولة على الويب. قال نورتون: "المهارات المتقدمة ليست ضرورية لشخص ما لكسر سلسلة توريد البرامج الخاصة بشركتك".
والخبر السار هو أنه مع زيادة حالات استغلال الثغرات - ومعها ، الوعي المتزايد - برامج إضافية ...
What's Your Reaction?
