Açık Kaynak Kodu Güvenlik Risklerinin Üstesinden Gelmek

3. Taraf Risk Yönetimi, Uygulama Güvenliği, Yönetişim ve Risk Yönetimi

DXC Teknolojisi, Zorluklar Konusunda Aquia CISO’ları, Kod Tabanlarını Yönetmeye İlişkin En İyi Uygulamalar

Anna Delaney (Annamadeline) •
26 Ekim 2023

En son “Kavram Kanıtı”nda, DXC Teknoloji Başkan Yardımcısı ve CISO Mike Baker ve Aquia’nın kurucu ortağı ve CISO’su Chris Hughes, Bilgi Güvenliği Medya Grubu editörleriyle bir araya gelerek açık kaynaklı yazılımı modern ortamlarda benimsemenin yararlarını, zorluklarını ve yanlış anlamalarını tartışıyor. kod tabanları ve bunların güvenliğini sağlamaya yönelik en iyi uygulamalar.

Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu

Hughes, “Yazılım varlık envanteri onlarca yıldır kritik bir kontrol olmuştur ve birçok kuruluş, ister şirket içinde geliştirilen yazılımlar için olsun, isterse üçüncü taraflardan tüketiyor olsun, hangi açık kaynaklı yazılımı kullandıkları konusunda iyi bir anlayışa sahip değil.” söz konusu. “Açık kaynak yazılım ekosisteminin bakımına baktığınızda bazı ölçümler tamamen endişe verici: Açık kaynak ekosistemindeki projelerin %25’inde ona katkıda bulunan tek bir bakımcı var, %94’ünde ise 10’dan az kod var.”

CyberEdBoard üyesi Baker, kuruluşlara açık kaynaklı yazılımlardan yararlanmak ile ilgili güvenlik risklerini azaltmak arasında bir denge kurmalarını tavsiye etti. Ve önceden doğru soruları sorduğunuzdan emin olun.

“Bu bir risk kabulü türü bir şey mi, yoksa kritik olmayan uygulamalara veya kullanımlara yavaş yavaş uygulayacağınız bir şey mi?” Baker dedi. “Bu, kuruluşların üçüncü taraf risk yönetimi programlarının neye benzediğini anlamak için yalnızca açık kaynak değil, tüm yazılımlarında şimdiden itibaren öncelik vermeleri gereken bir şey. Yazılım tedarik zinciri riskini hesaba katıyor mu? Ayak uyduruyorlar mı? hızla gelişen endüstriyle mi?”

Bu Konsept Kanıtı panel tartışmasında Baker ve Hughes, ISMG yapım yönetmeni Anna Delaney ve ISMG editör yardımcısı Tom Field ile birlikte şunları tartıştı:

• Kuruluşların, kodları içindeki açık kaynaklı yazılım bileşenlerini tüketme ve sürdürme konusunda, özellikle görünürlük ve izleme açısından karşılaştığı zorluklar;
• Açık kaynak bakımcıları ve kod varlıklarının nasıl daha iyi anlaşılıp yönetileceği hakkında yaygın yanlış anlamalar;
• Güvenlik riskini azaltırken açık kaynak yazılımdan tam olarak nasıl yararlanılır?

DXC Technology’de BT organizasyonunun siber güvenliğine liderlik eden Baker, liderlik, yetenek geliştirme, risk yönetimi, denetim ve uyumluluk alanlarında 20 yıllık deneyime sahip başarılı bir siber güvenlik yöneticisidir. Havacılık ve savunma da dahil olmak üzere birçok sektördeki müşterilere CISO ve danışman olarak hizmet vermiştir. Dahili siber operasyonlar, ağ savunması, politika, farkındalık, olay müdahalesi, tehdit istihbaratı, güvenli mimari ve itibar koruması konularında profesyonellerden oluşan bir ekibi yönetmektedir. Baker, Siber Güvenlik Olgunluk Modeli Sertifikasyon Akreditasyon Vücut Endüstrisi Danışma Grubunda görev yapmaktadır.

Aquia’nın kurucu ortağı Hughes, şu kitapların yazarıdır: Yazılım Şeffaflığı: Yazılım Odaklı Toplum Çağında Tedarik Zinciri Güvenliği. ABD Hava Kuvvetleri’ndeki aktif görev süresinden, ABD Deniz Kuvvetleri ve Genel Hizmetler İdaresi/FedRAMP’ta memurluktan özel sektörde danışmanlığa kadar uzanan yaklaşık 20 yıllık BT ve siber güvenlik deneyimine sahiptir. Ayrıca Capitol Teknoloji Üniversitesi ve Maryland Üniversitesi Küresel Kampüsü’nde MS siber güvenlik programlarında yardımcı profesör olarak görev yapmaktadır. Aynı zamanda Cloud Security Alliances Incident Response Çalışma Grubu da dahil olmak üzere endüstri gruplarına katılmakta ve Cloud Security Alliance DC’de üyelik başkanı olarak görev yapmaktadır. Ayrıca Resilient Cyber ​​podcast’inin ortak sunuculuğunu yapmaktadır ve ISC2’den CISSP/CCSP gibi çeşitli endüstri sertifikalarına sahiptir ve her ikisine de sahiptir. AWS ve Azure güvenlik sertifikaları.

Yazılım tedarik zinciri sorunlarının yönetilmesine ilişkin 10 Ağustos baskısı ve dijital hizmetlerin güvenliğinin sağlanmasına ilişkin 31 Ağustos baskısı da dahil olmak üzere “Kavram Kanıtı”nın önceki bölümlerimizi kaçırmayın.