No olvide el software de código abierto (OSS) al evaluar la seguridad de las aplicaciones en la nube
Consulte todas las sesiones bajo demanda de Smart Security Summit aquí.
El proceso de desarrollo de software se está acelerando. Los equipos de Devops están bajo una mayor presión para llegar al mercado y pueden trabajar rápidamente, en parte gracias a los paquetes de software de código abierto (OSS).
OSS se ha generalizado tanto que se estima que se incluye en el 80-90% de todo el software moderno. Pero aunque ha sido un gran acelerador para el desarrollo de software, OSS crea un área enorme que debe protegerse porque hay millones de paquetes creados de forma anónima que los desarrolladores usan para crear software.
La mayoría de los desarrolladores de código abierto actúan de buena fe; quieren hacer la vida más fácil a otros desarrolladores que podrían enfrentar el mismo desafío que buscan resolver. Es un trabajo desagradecido porque no hay ningún beneficio financiero en el lanzamiento de un paquete OSS y muchos comentarios negativos en los hilos de comentarios. Según la encuesta de código abierto de GitHub, "el mal comportamiento que se encuentra con más frecuencia es la mala educación (45 % de testigos, 16 % de experiencia), seguido de insultos (20 % de testigos, 5 % de experiencia) y estereotipos (11 % de testigos, 3 % de experiencia). experiencia)."
Desafortunadamente, no todos los paquetes OSS son confiables. La atribución es difícil de rastrear en busca de cambios en el código fuente abierto, por lo que se vuelve casi imposible identificar a los actores maliciosos que quieren comprometer la integridad del código. Se han insertado paquetes maliciosos de software de código abierto para señalar que las grandes empresas usan estos paquetes pero no financian su desarrollo, y en otras ocasiones por razones puramente maliciosas.
EventoCumbre de seguridad inteligente bajo demanda
Obtenga más información sobre el papel esencial de la IA y el ML en la ciberseguridad y los estudios de casos específicos de la industria. Mira las sesiones a pedido hoy.
mira aquíSi un paquete OSS se usa para crear software y tiene una vulnerabilidad, ese software ahora también tiene una vulnerabilidad. Una vulnerabilidad de puerta trasera puede potencialmente comprometer millones de aplicaciones, como vimos con Log4j el año pasado. Según el informe State of Open Source de OpenLogic, el 77 % de las organizaciones aumentó el uso de OSS durante el último año y el 36 % dijo que el aumento fue significativo. Pero la investigación de Linux Foundation muestra que solo el 49% de las organizaciones tienen una política de seguridad que cubre el desarrollo o uso de OSS.
Entonces, ¿cómo puede comprender mejor el riesgo que el OSS representa para el desarrollo de su aplicación en la nube y trabajar para mitigarlo?
Obtener visibilidadEl primer paso para comprender el tipo de amenaza que enfrenta es comprender la superficie de su aplicación. Integre la automatización en sus medidas de ciberseguridad para ganar visibilidad...
Consulte todas las sesiones bajo demanda de Smart Security Summit aquí.
El proceso de desarrollo de software se está acelerando. Los equipos de Devops están bajo una mayor presión para llegar al mercado y pueden trabajar rápidamente, en parte gracias a los paquetes de software de código abierto (OSS).
OSS se ha generalizado tanto que se estima que se incluye en el 80-90% de todo el software moderno. Pero aunque ha sido un gran acelerador para el desarrollo de software, OSS crea un área enorme que debe protegerse porque hay millones de paquetes creados de forma anónima que los desarrolladores usan para crear software.
La mayoría de los desarrolladores de código abierto actúan de buena fe; quieren hacer la vida más fácil a otros desarrolladores que podrían enfrentar el mismo desafío que buscan resolver. Es un trabajo desagradecido porque no hay ningún beneficio financiero en el lanzamiento de un paquete OSS y muchos comentarios negativos en los hilos de comentarios. Según la encuesta de código abierto de GitHub, "el mal comportamiento que se encuentra con más frecuencia es la mala educación (45 % de testigos, 16 % de experiencia), seguido de insultos (20 % de testigos, 5 % de experiencia) y estereotipos (11 % de testigos, 3 % de experiencia). experiencia)."
Desafortunadamente, no todos los paquetes OSS son confiables. La atribución es difícil de rastrear en busca de cambios en el código fuente abierto, por lo que se vuelve casi imposible identificar a los actores maliciosos que quieren comprometer la integridad del código. Se han insertado paquetes maliciosos de software de código abierto para señalar que las grandes empresas usan estos paquetes pero no financian su desarrollo, y en otras ocasiones por razones puramente maliciosas.
EventoCumbre de seguridad inteligente bajo demanda
Obtenga más información sobre el papel esencial de la IA y el ML en la ciberseguridad y los estudios de casos específicos de la industria. Mira las sesiones a pedido hoy.
mira aquíSi un paquete OSS se usa para crear software y tiene una vulnerabilidad, ese software ahora también tiene una vulnerabilidad. Una vulnerabilidad de puerta trasera puede potencialmente comprometer millones de aplicaciones, como vimos con Log4j el año pasado. Según el informe State of Open Source de OpenLogic, el 77 % de las organizaciones aumentó el uso de OSS durante el último año y el 36 % dijo que el aumento fue significativo. Pero la investigación de Linux Foundation muestra que solo el 49% de las organizaciones tienen una política de seguridad que cubre el desarrollo o uso de OSS.
Entonces, ¿cómo puede comprender mejor el riesgo que el OSS representa para el desarrollo de su aplicación en la nube y trabajar para mitigarlo?
Obtener visibilidadEl primer paso para comprender el tipo de amenaza que enfrenta es comprender la superficie de su aplicación. Integre la automatización en sus medidas de ciberseguridad para ganar visibilidad...
What's Your Reaction?
