لقد حان الوقت لمملكة المتحدة استباقية حول أمان البرمجيات
يعد إدخال مدونة ممارسات أمان البرمجيات في المملكة المتحدة إشارة قوية من الحكومة إلى أن أمان سلسلة إمداد البرمجيات يحتاج إلى ترقية جذرية.
ومع ذلك ، على الرغم من أن مدونة الممارسة هي خطوة جديرة بالثناء ، إلا أننا نفتقد فرصة كبيرة إذا لم يتم تشجيع الشركات على العمل من خط الأساس (نقاط الضعف والتعرضات الشائعة)-واحدة من الضوابط المهمة لبناء سلسلة توريد آمنة ومرنة.
تقوم برامج المفتوح المصدر (OSS) بدعم الكثير من البنية التحتية الرقمية اليوم ، من الخدمات السحابية إلى أدوات القطاع العام الحرجة. إن كل مكانه هو قوة ، ولكنه يعني أيضًا أن نقاط الضعف ، سواء كانت عرضية أو ضارة ، أمر لا مفر منه.
يمكن أن تكون إزالتها معقدة وتستغرق وقتًا طويلاً ، وغالبًا ما تتركها المنظمات في مكانها على أمل الأفضل. كل CVE لم يتم التحقق منه هو لفة من الزهر التي يمكن أن تؤدي إلى انقطاع المنتج – أو إعطاء ممثل سيئ موطئ قدم يحتاجون إلى أنظمة.
نائب الرئيس الدولي في Chainguard.
وجدت دراسة حديثة لـ Chainguard التي تستكشف مدى عمق قضية CVE أنه في المتوسط ، وفرت الشركات التي تعاقد مع علاج CVE 2.1 مليون دولار سنويًا – وهو الرقم الذي يقفز في قطاعات مثل تجارة المستهلك ، حيث تجعل الإصدارات المتكررة والبنية الدقيقة تصحيحًا يدويًا.
في هذه الأثناء ، شهدت منظمات الرعاية الصحية ما يصل إلى 50 مليون دولار ، حيث تنبع غالبية هذه القيمة من انخفاض المخاطر.
إنها علامة واضحة على أن التركيز على علاج CVE بعد الحقيقة ليس فقط غير فعال – إنه مكلف وتفاعل. من خلال نهج استباقي Zero-CVE ، ترى المنظمات تنبيهات أقل ، وعدد أقل من المعارك ، وتأخير أقل ، وبيئة بناء أكثر أمانًا من البداية.
CVE Conundrum: شبكة أمان معيب
CVES ، بطبيعتها ، تجبر الشركات على لعبة مستمرة من اللحاق بالركب. تتميز الفرق باستمرار بمكافحة مكافحة الحرائق المعروفة ، بينما يتخلف العمل الفعلي لتأمين البرمجيات بشكل استباقي وتعزيز الابتكار.
يجب أن تتحول محادثة أمن البرمجيات في المملكة المتحدة إلى بناء الأمن الوقائي إلى نسيج سلسلة توريد البرمجيات – وليس مجرد رد فعل بمجرد انتهاك.
في الواقع ، أبلغت مؤسسات المؤسسات عن وفورات سنوية قدرها 44 مليون دولار عند علاج CVES في بيئات البناء الخاصة بها ، مع غالبية هذه القيمة المستمدة من انخفاض التعرض للمخاطر والابتكار الأسرع.
يؤكد مدونة الممارسة في المملكة المتحدة على أهمية نهج المطور الأول. إنه يدعو إلى تحسين الشفافية ، وشرع أقوى ، ومساءلة أكثر وضوحًا.
ولكن دون تغيير الطريقة التي نفكر بها في CVES ، فإن هذا الطموح لن يذهب بعيدًا بما فيه الكفاية. لا تخبرنا CVES بمدى جدارة بالثقة في البرنامج ؛ يخبروننا فقط أين كانت العيوب المعروفة بالأمس.
يجب أن نبحث عن المنبع لمعالجة نقاط الضعف قبل وجودها.
الأمن الاستباقي ، وليس الترقيع
المفتاح هو احتضان أطر عمل آمنة من قبل المطورين. بدلاً من الاعتماد على أدوات المسح ومراجعة الحسابات بعد الحقيقة ، يجب علينا خبز الأمان في برنامجنا وإنشاء سلاسل إمداد شفافة.
إن دفع المنتجات والخدمات الآمنة من المملكة المتحدة هو بالضبط الاتجاه الصحيح ، ولكن يتعين علينا التأكد من أن هذا النهج يمتد إلى المكونات المفتوحة المصدر التي تدعم معظم البرامج اليوم-وهي مجال يلامس رمز الممارسة بشكل غير مباشر ، لكنه لا يعالج بعمق.
إذا نظرنا إلى حوادث المملكة المتحدة الأخيرة – هجمات NHS Ransomware أو خرق بيانات M&S – نرى دليلًا واضحًا على أن الأمن التفاعلي قصير.
تميل كل حادث إلى دفع موجة من مسح CVE للمسح والتصحيح عبر المنظمات المصابة ، ولكن هذه الدورة من التدافع والإصلاح غير مستدامة.
تتدافع الفرق ، ويتصاعد الإجهاد ، وبشكل حاسم ، تعاني الأعمال. هذه الدورة غير مستدامة. هناك حاجة ماسة إلى التحول نحو إدارة المخاطر الاستباقية ، مما يمنح المطورين الأدوات التي يحتاجونها لفهم أمن البرمجيات والتحكم فيها والتحقق منها من اليوم الأول.
لقد رأينا بشكل مباشر كيف أن تأمين عملية البناء ، من الالتزام بالنشر ، يمكن أن يقلل بشكل كبير من التعرض للضعف. تضمن الأساليب الأولى المصرفية أن يتم مصادقة كل سطر من الكود ويمكن تتبعه.
ما يجب أن تفعله المملكة المتحدة بعد ذلك
لذا ، كيف تبدو جيدة للمنظمات البريطانية التي تعتمد مدونة الممارسة الجديدة؟
أولاً ، هذا يعني التقدم على CVES من خلال الاستثمار في عمليات البناء الآمنة التي تترك عدد أقل من نقاط الضعف في التصحيح. ثانياً ، يعني إعطاء الأولوية للشفافية مع فواتير البرمجيات الواضحة والقوية للمواد (SBOMS).
يمكّن ذلك المطورين وفرق الأمان من معرفة ما هو موجود بالضبط في برامجهم ، ومن أين يأتي ، ومدى جدارة بالثقة. أخيرًا ، يتعلق الأمر بتحويل العقلية التنظيمية من إدارة التصحيح التفاعلية نحو الوقاية من الضعف الاستباقي.
بالنسبة للمؤسسات البريطانية ، والهيئات الحكومية ، والشركات الصغيرة والمتوسطة على حد سواء ، لم يعد من الممكن أن يكون أمن البرمجيات فكرة رد الفعل بعد ذلك. يجب تضمينها في الحمض النووي لكيفية تطوير البرمجيات ونشرها وإدارتها – مع عناصر تحكم مثل الوقاية من الضعف الاستباقي وتأمين خطوط الأنابيب في جوهرها.
تتمتع المملكة المتحدة بفرصة لقيادة العالم في أمن البرمجيات الاستباقية – ولكن فقط إذا تجاوزنا الإصلاحات المرقعة. من خلال تضمين ممارسات آمنة من حيث الفواصل ، وبناء سلاسل التوريد الشفافة ، والبدء من خط أساس ZERO-CVE ، يمكننا حماية مستقبلنا الرقمي قبل أن تصبح التهديدات عناوين الصحف وضمان تشغيل محرك الابتكار في المملكة المتحدة على أسس آمنة بدلاً من الثغرات في الماضي.
لقد عرضنا أفضل دورة الأمن السيبراني عبر الإنترنت.
تم إنتاج هذه المقالة كجزء من قناة TechRadarpro Expert Insights حيث نعرض أفضل وألمع عقول في صناعة التكنولوجيا اليوم. الآراء المعبر عنها هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarpro أو Future PLC. إذا كنت مهتمًا بالمساهمة ، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-techradar-pro