Una de las mayores amenazas para los angeles seguridad cibernética empresarial involucra el código de terceros rediseñado y el código de fuente abierta, por lo que
piensa en Google Servicio de software de código abierto asegurado seria de gran ayuda
Piensa otra vez.
Aquí está el discurso de Google: “Confident OSS permite a los usuarios empresariales y del sector público de device de código abierto incorporar fácilmente los mismos paquetes OSS que utiliza Google en sus propios flujos de trabajo de desarrollador. Los paquetes seleccionados por el servicio Confident OSS se escanean, analizan y prueban periódicamente para detectar vulnerabilidades; tener metadatos enriquecidos correspondientes que incorporen datos de análisis de contenedores/artefactos; están construidos con Cloud Construct, incluida los angeles evidencia de cumplimiento verificable de SLSA; están firmados de manera verificable por Google; y se distribuyen desde un registro de artefactos asegurado y protegido por Google”.
Este servicio puede o no ser útil, dependiendo del usuario ultimate. Para algunas empresas, especialmente las pequeñas y medianas empresas, podría tener valor para operaciones pequeñas sin un equipo de TI dedicado. Pero para las empresas más grandes, las cosas son muy diferentes.
Como todo en ciberseguridad, hay que empezar por los angeles confianza. ¿Debería TI confiar en los esfuerzos de Google aquí? Primero, ya hemos aprobado muchas aplicaciones cargadas de malware o problemáticas para los angeles tienda de aplicaciones de Google, Google Play. (Para ser justos, es igual de malo en los angeles tienda de aplicaciones de Apple).
Eso hace el punto. Encontrar cualquier problema de seguridad en el código es extraordinariamente difícil. Nadie lo va a hacer a los angeles perfección y Google (y Apple) simplemente no tienen el modelo de negocios para dotar de private a esas áreas adecuadamente. Entonces confían en los angeles automatización, que es abnormal.
No me malinterpretes. Lo que Google está intentando es algo muy bueno. Pero los angeles pregunta clave de TI empresarial es si este programa les permitirá hacer algo diferente. Argumento que no lo hará.
TI necesita escanear cada pieza de código, especialmente de código abierto, para detectar cualquier problema. Eso podría incluir problemas intencionales, como malware, ransomware, puertas traseras o cualquier otra cosa nefasta. Pero también incluirá agujeros accidentales. Es difícil luchar por completo contra los errores tipográficos o los angeles codificación descuidada.
No es que los codificadores/programadores puedan justificar no verificar dos veces el código que proviene de este programa de Google. Y no, el conocimiento de que esto es lo que Google u.s.a. internamente no debería hacer que ningún CIO, director de TI o CISO se sienta cálido y confuso.
Eso trae a colación un problema mayor: todas las empresas debería verifique y vuelva a verificar cada línea de código a los angeles que acceden desde otro lugar, sin excepciones. Dicho esto, aquí es donde los angeles realidad se encuentra con el supreme.
Discutí el movimiento de Google con Chris Wysopal, uno de los fundadores de los angeles firma de seguridad de device Veracode, y él hizo algunos puntos convincentes. Hay algunas desconexiones en cuestión, una entre los desarrolladores/codificadores y los angeles gestión de TI, los angeles otra entre los angeles gestión de TI (CIO) y los angeles gestión de seguridad (CISO).
En cuanto a los angeles primera desconexión, TI puede emitir tantas proclamaciones de políticas como desee. Si los desarrolladores en el campo eligen ignorar esos edictos, todo se scale back a los angeles aplicación. Con todos los ejecutivos de línea de negocios acosando a TI, exigiendo todo de inmediato, y esas personas son las que generan los ingresos, lo que significa que es possible que ganen cualquier batalla con el CFO o el CEO, los angeles aplicación es difícil.
Eso supone que TI, de hecho, ha emitido edictos que exigen que el código externo se verifique dos veces para ver qué código es malo y bueno. Ese es el segundo conflicto: los CISO, CSO y CRO querrán que los angeles verificación de código se realice de forma rutinaria, mientras que los directores de TI y los CIO pueden adoptar una posición menos agresiva.
Existe un riesgo en este movimiento de Google, uno que puede describirse como una falsa sensación de seguridad. Algunos en TI tendrán los angeles tentación de usar los angeles oferta de Google como una oportunidad para ceder a los angeles presión de tiempo de los LOB y renunciar a los controles de seguridad cibernética en cualquier cosa del programa Confident de Google. Para ser franco, eso significa decidir confiar completamente (y ciegamente) en el equipo de Google para capturar absolutamente todo.
No puedo imaginarme a un ejecutivo de TI de Fortune 1000 (o sus contrapartes privadas) creyendo eso y actuando de esa manera. Pero si reciben presión de los líderes empresariales para actuar rápidamente, es una excusa relativamente buena para hacer lo que saben que no deben hacer.
Esto nos obliga a lidiar con algunos hechos incómodos. ¿Google Confident es más seguro que el código no verificado? Absolutamente. ¿Será perfecto? Por supuesto que no. Por lo tanto, los angeles prudencia dicta que TI debe continuar con lo que estaba haciendo antes y verificar todo el código. Eso hace que el esfuerzo de Google sea bastante irrelevante para los angeles empresa.
Pero no es tan easy y nunca lo es. Wysopal argumenta que muchas empresas simplemente no verifican lo que deberían. Si eso es cierto, y lamentablemente reconozco que probablemente lo sea, entonces Google Confident es una mejora con respecto a lo que teníamos el mes pasado.
En otras palabras, si ya está tomando demasiados atajos y planea continuar haciéndolo, el movimiento de Google puede ser algo bueno. Si eres estricto con los angeles verificación de códigos, es irrelevante.
Wysopal también argumenta que los angeles escala de Google es demasiado pequeña para ayudar mucho, independientemente del enfoque de verificación de código de una empresa. “Este proyecto tendría que multiplicarse por 10 para marcar una gran diferencia”, dijo Wysopal.
¿Qué hacen esos líderes de TI que hacen no verifique estrictamente el código ¿hacer? “Esperan a que alguien más encuentre los angeles vulnerabilidad (y luego los angeles solucione). L. a. empresa es una especie de consumidor tonto de código abierto. Si alguien más encuentra una vulnerabilidad, quiere un sistema en el lugar donde pueda actualizar”, dijo Wysopal. “Es raro encontrar una empresa con una política estricta y que los angeles estén aplicando bien. L. a. mayoría permite a los desarrolladores seleccionar código abierto sin ningún proceso estricto. Tan pronto como los angeles seguridad de los angeles aplicación comienza a ralentizar las cosas, se pasa por alto”.
El movimiento de Google es una buena noticia para aquellos que han recortado demasiados atajos de seguridad. ¿Cuántas de esas empresas existen? Eso es discutible, pero me temo que Wysopal puede tener más razón de lo que nadie quiere admitir.
Derechos de autor © 2022 IDG Communications, Inc.
Pasaporte En Linea