Не забувайте про програмне забезпечення з відкритим вихідним кодом (OSS), коли оцінюєте безпеку хмарних програм
Перегляньте всі сеанси Smart Security Summit за запитом тут.
Процес розробки програмного забезпечення прискорюється. Команди Devops відчувають підвищений тиск, щоб вийти на ринок, і вони можуть працювати швидко, частково завдяки пакетам програмного забезпечення з відкритим кодом (OSS).
OSS набула такого поширення, що, за оцінками, вона входить до складу 80-90% усього сучасного програмного забезпечення. Але хоча це чудовий прискорювач розробки програмного забезпечення, OSS створює величезну територію, яку потрібно захищати, оскільки існують мільйони анонімно створених пакетів, які розробники використовують для створення програмного забезпечення.
Більшість розробників з відкритим кодом діють добросовісно; вони хочуть полегшити життя іншим розробникам, які можуть зіткнутися з тією ж проблемою, яку вони хочуть вирішити. Це невдячна робота, тому що випуск пакета OSS не принесе фінансової вигоди та багато негативних відгуків у гілках коментарів. Згідно з опитуванням Open Source GitHub, «найпоширенішою поганою поведінкою є хамство (45% свідків, 16% досвіду), потім лайка (20% свідків, 5% досвіду) і стереотипи (11% свідків, 3% досвід)."
На жаль, не всі пакети OSS є надійними. Атрибуцію важко відстежити за змінами у відкритому коді, тому виявити зловмисників, які хочуть порушити цілісність коду, стає майже неможливо. Шкідливі пакети програмного забезпечення з відкритим кодом були вставлені, щоб показати, що великі компанії використовують ці пакети, але не фінансують їх розробку, а в інших випадках – із суто зловмисних причин.
ПодіяСаміт Smart Security за запитом
Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та практичні приклади для окремих галузей. Дивіться сеанси за запитом сьогодні.
ПослухайтеЯкщо пакет OSS використовується для створення програмного забезпечення та має вразливість, це програмне забезпечення тепер також має вразливість. Уразливість бекдору може потенційно скомпрометувати мільйони програм, як ми бачили з Log4j минулого року. Згідно зі звітом OpenLogic про стан відкритого коду, 77% організацій збільшили використання OSS за минулий рік, а 36% сказали, що це зростання було значним. Але дослідження Linux Foundation показують, що лише 49% організацій мають політику безпеки, яка охоплює розробку або використання OSS.
Тож як ви можете краще зрозуміти ризик, який OSS становить для розробки вашої хмарної програми, і працювати над його пом’якшенням?
Отримати видимістьПершим кроком до розуміння типу загрози, з якою ви стикаєтеся, є розуміння поверхні вашої програми. Інтегруйте автоматизацію у свої заходи кібербезпеки, щоб отримати видимість...
Перегляньте всі сеанси Smart Security Summit за запитом тут.
Процес розробки програмного забезпечення прискорюється. Команди Devops відчувають підвищений тиск, щоб вийти на ринок, і вони можуть працювати швидко, частково завдяки пакетам програмного забезпечення з відкритим кодом (OSS).
OSS набула такого поширення, що, за оцінками, вона входить до складу 80-90% усього сучасного програмного забезпечення. Але хоча це чудовий прискорювач розробки програмного забезпечення, OSS створює величезну територію, яку потрібно захищати, оскільки існують мільйони анонімно створених пакетів, які розробники використовують для створення програмного забезпечення.
Більшість розробників з відкритим кодом діють добросовісно; вони хочуть полегшити життя іншим розробникам, які можуть зіткнутися з тією ж проблемою, яку вони хочуть вирішити. Це невдячна робота, тому що випуск пакета OSS не принесе фінансової вигоди та багато негативних відгуків у гілках коментарів. Згідно з опитуванням Open Source GitHub, «найпоширенішою поганою поведінкою є хамство (45% свідків, 16% досвіду), потім лайка (20% свідків, 5% досвіду) і стереотипи (11% свідків, 3% досвід)."
На жаль, не всі пакети OSS є надійними. Атрибуцію важко відстежити за змінами у відкритому коді, тому виявити зловмисників, які хочуть порушити цілісність коду, стає майже неможливо. Шкідливі пакети програмного забезпечення з відкритим кодом були вставлені, щоб показати, що великі компанії використовують ці пакети, але не фінансують їх розробку, а в інших випадках – із суто зловмисних причин.
ПодіяСаміт Smart Security за запитом
Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та практичні приклади для окремих галузей. Дивіться сеанси за запитом сьогодні.
ПослухайтеЯкщо пакет OSS використовується для створення програмного забезпечення та має вразливість, це програмне забезпечення тепер також має вразливість. Уразливість бекдору може потенційно скомпрометувати мільйони програм, як ми бачили з Log4j минулого року. Згідно зі звітом OpenLogic про стан відкритого коду, 77% організацій збільшили використання OSS за минулий рік, а 36% сказали, що це зростання було значним. Але дослідження Linux Foundation показують, що лише 49% організацій мають політику безпеки, яка охоплює розробку або використання OSS.
Тож як ви можете краще зрозуміти ризик, який OSS становить для розробки вашої хмарної програми, і працювати над його пом’якшенням?
Отримати видимістьПершим кроком до розуміння типу загрози, з якою ви стикаєтеся, є розуміння поверхні вашої програми. Інтегруйте автоматизацію у свої заходи кібербезпеки, щоб отримати видимість...
What's Your Reaction?
