Beschleunigung welcher Identifizierung und Beseitigung von Schwachstellen
[ad_1]
Schnelle Entwicklungs- und Bereitstellungszyklen werden seit dem Zeitpunkt langem pro dies Potenzial kritisiert, mehr Fehler in Software einzuführen. Immerhin dies Spruch „bewege dich schnell und mache Gedöns kaputt“ hält sich nicht in modernen Umgebungen, die zunehmend von böswilligen Akteuren angegriffen werden. Eine andere Sache ist können schnellere Release-Zyklen gleichermaßen bedeuten, dass Patches schneller implementiert werden können – und dies ist nur ein Merkmal, welcher die Satz beschleunigt, mit welcher Softwareteams Fehler beheben können.
Da die Nachfrage nachdem zuverlässiger, sicherer Software steigt, sind eine Warteschlange von Taktiken und Technologien entstanden, die Teams in diesem Zusammenhang unterstützen, ihre Anwendungen schneller qua je zuvor zu erstellen, zu warten, zu reparieren und zu sichern. Ansätze wie DevSecOps, Programmierfehler-Bounty-Programme, Open-Source-Programmierfehler-Reporting und sogar Googles Project Zero nach sich ziehen erheblichen Kraft darauf, wie wir Software sichern. Immerhin wenn dies Identifizieren und Patchen von Schwachstellen einfacher geworden ist, warum Vorlesung halten wir dann immer noch von so vielen Verstößen? Lass uns erkunden.
Neue Taktiken beschleunigen die Fehlerbehebung
Die breite Aufnahme von DevOps-Lösungen und Organisations-Workflows, die wir in den letzten Jahren gesehen nach sich ziehen, bedeutet schnellere Release-Zyklen von Software. In welcher nicht maßlos fernen Vergangenheit veröffentlichte ein Softwareunternehmen sämtliche paar Monate eine aktualisierte Version, die Korrekturen pro Sicherheitsprobleme enthielt, die in diesem Zeitraum entdeckt und gepatcht wurden. Die Gesamtheit, welches noch nicht entdeckt oder behoben wurde, musste in ein paar Monaten hinauf die nächste Version warten. Mit welcher DevOps-Methodik und -Technologie veröffentlichen Softwareanbieter und Open-Source-Projektbetreuer dutzende Male am Tag Versionen ihrer Produkte – wenn welcher Rapide fertig ist, erhält dies Produkt ihn, wodurch die Zeit solange bis zur Beseitigung drastisch verkürzt wird.
Wenige Organisationen möglich sein noch zusammenführen Schrittgeschwindigkeit weiter, um Sicherheit in Entwicklungsprozesse zu integrieren. Untersuchungen von ESG zeigen, dass 62 % welcher Unternehmen zusammenführen Plan nach sich ziehen oder Anwendungsfälle pro die Implementierung von DevSecOps evaluieren. Und diejenigen Organisationen, die jene Prozesse schon eingeführt nach sich ziehen, sehen radikale Verbesserungen in welcher Leistungsfähigkeit, mit welcher sie Schwachstellen identifizieren und beheben können.
Programmierfehler-Bounty-Programme sind ebenfalls zum Mainstream geworden. Wenige Plattformen zuteil werden lassen es Softwareanbietern, die Möglichkeiten des Schwarmauslagerung zu nutzen, um Sicherheitsprobleme in ihren eigenen Produkten zu erspähen. Dieser Strahl muss mit einem dedizierten Framework zur Fehlerbehebung verwaltet werden. Und da die Kenntniserlangung von Problemen zunimmt, ist dies Unternehmen gezwungen, bessere Wege zu ihrer Beseitigung zu finden, und die Zeit solange bis zur Beseitigung wird immer kürzer.
Intrinsisch welcher Open-Source-Gemeinschaft verfügen Codeverwaltungslösungen wie GitHub, GitLab und andere via eine integrierte Möglichkeit, Sicherheitsprobleme zu melden und zu verfolgen, sodass Open-Source-Betreuer und -Benutzer Schwachstellen, die in einem Open-Source-Projekt hervortreten, mühelos melden und verfolgen können . Die Informationen sind publik (via die öffentlichen Projekte), und die Betreuer und die Gemeinschaft wahrnehmen sich verpflichtet, Probleme schnell zu beheben.
Ein Schlusslicht Merkmal ist die Wirkung von Googles Project Zero. Denn Teil dieser Initiative verfügt Google via ein Team von Sicherheitsforschern, dies sich welcher Untersuchung von Zero-Day-Schwachstellen in den Hardware- und Softwaresystemen widmet, hinauf die sich Benutzer hinauf welcher ganzen Welt verlassen. Im Jahr 2021 entdeckte Googles Project Zero a Aufzeichnung von 58 Zero-Day-Schwachstellen in welcher Wildnis.
Darüber hinaus sind die meisten Softwareunternehmen, die im Eintragung von Project Zero aufgeführt sind, keine gewöhnlichen Softwareanbieter, und dies Projekt zwingt jene großen Technologieunternehmen dazu, Sicherheitsprobleme intrinsisch von 90 Tagen zu beheben, welches zu Veränderungen in welcher Ingenieurskultur und welcher Organisationsstruktur führt Die Ingenieurgemeinschaft im Allgemeinen ahmt die großen Innovatoren nachdem.
Es bleiben Herausforderungen, die sich hinauf die Softwaresicherheit auswirken
Patches pro Software werden oft via Updates bereitgestellt, die ein Upgrade hinauf die neueste Version erfordern, ein Schrittgeschwindigkeit, welcher sich vielmals hinauf den Firma auswirken kann. Eine zeitnahe Problemlösung kann in manchen Fällen sogar unmöglich sein. Unternehmen, die heute Software prosperieren, verlassen sich oft hinauf zusammenführen hohen Quotient an Open-Source-Schlüssel und viele Komponenten, die Kompliziertheit erzeugen. Dasjenige Upgrade einer Open-Source-Bibliothek, hinauf die sich ein Unternehmen in seiner gesamten Codebasis verlässt, oder einer bestimmten Version eines Docker-Images kann erhebliche Änderungen pro seine Produkte bedeuten. Ein einziger Sicherheitsfix kann eine enorme Menge an Arbeit pro Entwicklungsteams bedeuten. Denn Ergebnis, Teams sollen Fehlerbehebungen vorziehenund nur kritische Sicherheitsprobleme werden gelöst.
Verbesserungen in welcher Softwaresicherheit
Automatisierung ist welcher Schlüssel. Es ist pro Softwarekonsumenten und -anbieter unmöglich, mit einer großen Menge an Sicherheitsrisiken in großen Codebasen umzugehen, ohne zusammenführen automatisierten Prozess zur Erkennung, Beseitigung und Vorbeugung zu verwenden. Wichtig ist gleichermaßen die Priorisierung. Ein kleines Engineering-Team könnte leichtgewichtig von all den potenziellen Sicherheitsproblemen entgeistert werden, die aufgedeckt werden, freilich dies wirkt sich normalerweise nicht hinauf seine Software aus. Um festzustellen, ob Anwendungen von Sicherheitsrisiken betroffen sind, Unternehmen sollen zusammenführen umfassenden Prozedur verfolgen – vom Quellcode via die DevOps-Pipelines, die ihn herausgeben, solange bis hin zur Produktionsumgebung in welcher Cloud. Dasjenige Verbinden dieser Punkte hilft Ingenieuren, Sicherheitsrisiken in Apps richtig zu verwalten.
Unternehmen sollten gleichermaßen Technologien einsetzen, um den Zustand und den Ruf von Open-Source-Schlüssel zu wertschätzen. Zu den zu bewertenden Faktoren in Besitz sein von Qualität, Wartbarkeit, Popularität und dies Risiko von Vorfällen in welcher Versorgungskette. Automatisierte Sicherheitstools können gleichermaßen hier eine Rolle spielen, während sie verhindern, dass riskanter Schlüssel in die Codebasis gelangt, und Entwickler via potenziell gefährliche Pakete informieren. Ebenfalls, Verwendung einer Software-Stückliste (SBOM) können Transparenz via die in Anwendungen verwendeten Softwarekomponenten schaffen, die Identifizierung und Beseitigung potenzieller Schwachstellen beschleunigen und zur Einhaltung gesetzlicher Vorschriften hinzufügen.