Saat dunia teknologi mempertimbangkan pilihan untuk keamanan rantai pasokan perangkat lunak, panggilan untuk urgensi
togel

Saat dunia teknologi mempertimbangkan pilihan untuk keamanan rantai pasokan perangkat lunak, panggilan untuk urgensi

Mengamankan rantai pasokan perangkat lunak telah menjadi serupa dengan makan lebih baik, berolahraga secara teratur dan lebih banyak istirahat. Semua orang tahu bahwa itu adalah hal yang benar untuk dilakukan, tetapi eksekusi sering kali meninggalkan banyak hal yang diinginkan.

Sejumlah pemimpin industri telah melangkah maju dalam beberapa minggu terakhir untuk menambahkan catatan urgensi untuk masalah rantai pasokan perangkat lunak. Ini termasuk para pemimpin di sektor swasta, akademisi, yayasan teknologi dan pemerintah. Komentar mereka, seperti yang terekam dalam ulasan sumber berita dan percakapan langsung dengan SiliconANGLE Media, menggemakan tema umum: Saatnya untuk menanggapi ancaman ini dengan serius dan melakukan sesuatu untuk mengatasinya.

“Anda benar-benar berpikir tentang apa tautan lemah saya, apa kerentanan saya?” Manoj Nair, manajer umum Metallic, sebuah usaha Commvault, mengatakan selama wawancara dengan SiliconANGLE. “Kerentanan itu sekarang menjadi rantai pasokan perangkat lunak Anda.”

Tanda-tanda peringatan sulit untuk dilewatkan. Serangan SolarWinds, yang menanamkan kode berbahaya dalam perangkat lunak yang digunakan oleh organisasi sektor swasta dan publik di seluruh dunia, menunjukkan masalah yang dapat terjadi ketika rantai pasokan dilanggar. Baru-baru ini, kerentanan Apache Log4j yang dilaporkan akhir tahun lalu memperlihatkan lubang yang dapat dieksploitasi di perpustakaan logging Java, dan sejumlah besar aplikasi dan server masih kekurangan patch keamanan.

Kesulitan dalam mengamankan pipa perangkat lunak dapat dilihat dalam hasil survei terbaru dari satu industri. Perusahaan keamanan siber Trellix Inc. melaporkan pada bulan April bahwa 74% responden layanan kesehatan AS belum sepenuhnya menerapkan kebijakan manajemen risiko rantai pasokan perangkat lunak. Sejumlah pemimpin industri telah melangkah maju dalam beberapa minggu terakhir untuk menambahkan catatan urgensi untuk masalah ini.

“Sudah waktunya untuk menanggapi ancaman ini dengan serius,” Richard Tracy, seorang veteran keamanan siber 35 tahun dan kepala petugas keamanan untuk Telos Corp., menulis dalam komentar tentang melindungi rantai pasokan perangkat lunak. “Kami tahu apa yang harus kami lakukan dan bagaimana melakukannya. Sudah saatnya kita mulai.”

Pemerintah bergerak menuju SBOM

Tidak ada kekurangan ide untuk menangani keamanan rantai pasokan perangkat lunak. Para pemimpin pemikiran di seluruh sektor publik dan swasta telah menyusun proposal yang menyediakan kerangka kerja yang berguna untuk perlindungan.

Salah satu alat utama adalah perangkat lunak bill of material, atau SBOM, dan salah satu pendukung terbesar SBOM di pemerintah federal adalah Allan Friedman, penasihat senior dan ahli strategi untuk Cybersecurity and Infrastructure Security Agency. SBOM menyediakan catatan yang berisi berbagai komponen yang digunakan dalam pembuatan perangkat lunak.

Satu tahun lalu, Gedung Putih mengeluarkan perintah eksekutif yang menyerukan penggunaan SBOM secara lebih luas. Kantor Manajemen dan Anggaran menggarisbawahi Perintah Eksekutif pada bulan Maret ketika mendesak lembaga federal untuk mengadopsi kerangka kerja Pengembangan Perangkat Lunak Aman, termasuk SBOM.

Friedman, yang bergabung dengan CISA tahun lalu setelah membantu mendefinisikan SBOM selama masa jabatannya di Departemen Perdagangan AS, telah berbicara blak-blakan tentang perlunya lembaga pemerintah untuk segera menerapkan praktik keamanan rantai pasokan perangkat lunak.

“Sangat penting bagi pemerintah federal untuk bergerak ke arah pemanfaatan SBOM yang sering untuk melacak komponen-komponen ini,” kata Friedman saat tampil di acara virtual pada bulan April. “Tanpa transparansi, akan sangat sulit untuk memecahkan masalah keamanan apa pun.”

CISA bukan satu-satunya agen federal yang ingin menerapkan SBOM. Administrasi Makanan dan Obat-obatan telah mendukung inisiatif tagihan perangkat lunak perangkat lunak Departemen Perdagangan sejak 2018, dipelopori oleh Suzanne Schwartz, direktur Kantor Kemitraan Strategis dan Inovasi Teknologi untuk Pusat Perangkat dan Kesehatan Radiologi FDA.

Pada awal April, FDA merilis rancangan panduan keamanan siber dengan pendekatan siklus hidup produk total untuk produsen perangkat medis. Schwartz menyatakan keyakinannya bahwa sangat penting bagi perusahaan perangkat untuk menyediakan inventaris bersama komponen pihak ketiga dan telah menjelaskan bahwa panduan terbaru akan memaksa pemasok peralatan medis untuk menangani keamanan rantai pasokan perangkat lunak.

“Di mana kita memiliki gigi di sini sebenarnya adalah pengakuan produsen bahwa [following this guidance] kemungkinan menjadi cara terbaik mereka untuk membawa produk ke pasar,” kata Schwartz dalam sebuah wawancara baru-baru ini. “Tidak mengikuti panduan akan menciptakan kompleksitas yang lebih besar atau potensi kesulitan sejauh menjawab pertanyaan yang akan muncul. Itu berarti berpotensi penundaan.”

Ancaman pembelajaran mesin

Pelanggaran baru-baru ini dan peningkatan aktivitas ancaman di tingkat pemerintah federal telah membawa pengawasan pada masalah rantai pasokan, yang telah diperingatkan oleh para pakar keamanan di dunia akademis selama beberapa waktu. Pada KTT Keamanan Platform pada tahun 2019, Mark Sherman, direktur teknis grup Yayasan Keamanan Siber di Divisi CERT di Institut Rekayasa Perangkat Lunak Universitas Carnegie Mellon, menyampaikan presentasi panjang lebar tentang risiko yang berkembang dalam rantai pasokan perangkat lunak.

Sherman mencatat kekhawatiran seputar paparan yang melekat pada perangkat lunak sumber terbuka dan mendukung inisiatif untuk menambahkan SBOM dan alat penting lainnya ke dalam proses. Tahun lalu, akademisi Carnegie Mellon memperingatkan bahwa rantai pasokan pembelajaran mesin dapat dikompromikan dengan data pelatihan yang buruk. Kekhawatirannya secara khusus melibatkan kemajuan teknologi yang berkembang untuk video palsu yang dalam dan kemampuan aktor jahat untuk mengkooptasi aplikasi dan perangkat pelatihan untuk tujuan jahat.

“Belum banyak kerugiannya, tetapi Anda dapat membayangkan bagaimana teknologi ini dapat digunakan untuk jenis serangan lain seiring perkembangan teknologi,” kata Sherman saat presentasi di Ai4 Cybersecurity 2021 Summit.

Selain penelitian Sherman, perwakilan dari beberapa institusi pendidikan telah mengembangkan solusi pelacakan rantai pasokan yang menarik di bawah naungan Cloud Native Computing Foundation. Pada bulan Maret, CNCF mengumumkan bahwa mereka akan menerima proyek in-toto sebagai inisiatif inkubasi. In-toto, berasal dari frasa Latin yang berarti “seluruh atau keseluruhan,” adalah kerangka kerja untuk memastikan integritas rantai pasokan perangkat lunak secara kriptografis.

Di antara kelompok akademisi di belakang in-toto adalah Justin Cappos, seorang profesor di Departemen Ilmu dan Teknik Komputer di Universitas New York, dan Santiago Torres-Arias, asisten profesor teknik listrik dan komputer di Universitas Purdue. Cappos, yang disebut oleh Popular Science sebagai salah satu dari “Sepuluh Cemerlang” ilmuwan di bawah 40 tahun, percaya bahwa in-toto akan sangat meminimalkan kerusakan yang pada akhirnya disebabkan oleh pelanggaran rantai pasokan SolarWinds.

“Kami akan membuatnya lebih sulit untuk [SolarWinds] penyerang dan kemungkinan besar akan menghentikan serangan itu, ”kata Cappos dalam sebuah wawancara tahun 2021. “In-toto pasti bisa melindungi dari ini. Sangat mungkin untuk menangkapnya.”

In-toto adalah upaya bersama untuk mendapatkan akar dari keamanan rantai pasokan untuk menciptakan pemahaman yang lebih baik tentang asal perangkat lunak apa pun. Pendekatan ini telah diterapkan untuk pasar produk AS. FDA menggunakan sidik jari DNA untuk melacak romaine yang bersumber dari pertanian untuk wabah E. coli. Mengapa ini tidak dapat dilakukan untuk perangkat lunak juga?

“Mengamankan rantai pasokan perangkat lunak adalah tantangan yang menarik, sebagian besar karena kami masih belum sepenuhnya memahami cara pembuatannya,” kata Torres-Arias selama podcast Kubernetes dari Google. “Keterbatasan mendasar dengan cara kami membuat perangkat lunak adalah kami tidak memiliki cara yang efisien untuk mengomunikasikan informasi kepercayaan atau membuat asumsi kepercayaan tentang hal-hal yang kita konsumsi. Semuanya ada di alam ethereal.”

Pendekatan baru

Perjalanan dari ethereal ke nyata akan membutuhkan alat dan teknik baru untuk memberikan keselamatan dan keamanan yang lebih besar untuk perangkat lunak perusahaan. Dua solusi tambahan di area ini melibatkan build terverifikasi yang dapat direproduksi dan Open-Source Program Office, atau OSPO.

David Wheeler, direktur keamanan rantai pasokan sumber terbuka di Linux Foundation, telah menjadi advokat untuk bangunan yang dapat direproduksi dan diverifikasi. Perangkat lunak berpemilik Orion SolarWinds menjadi ancaman ketika sistem pembuatannya ditumbangkan. Tujuan dari build terverifikasi adalah untuk melawan serangan semacam itu.

“Idenya di sini adalah jika Anda dapat membangun kembali dari kode sumber yang sama, dan alat yang sama, dan seterusnya dan menghasilkan paket yang dapat dieksekusi yang sama persis dengan beberapa upaya independen yang berbeda, kecil kemungkinannya bahwa semua proses pembangunan itu ditumbangkan, ” kata Wheeler dalam presentasi di InfoQ Live pada bulan Februari. “Ada banyak kemajuan untuk mewujudkan ini.”

OSPO dirancang untuk mengawasi bagaimana bisnis menciptakan atau berkontribusi pada perangkat lunak bebas. Dengan mengatur biro pakar sumber terbuka dalam suatu organisasi, grup dapat membangun visibilitas dan mengelola penggunaan alat sumber terbuka sambil membatasi paparan keamanan sebagai hasilnya.

Dalam perkembangan terbaru, Red Hat Inc. mempratinjau pola keamanan rantai pasokan perangkat lunak untuk membangun dan memvalidasi konfigurasi perangkat lunak dalam tumpukan lengkap sebagai kode. Pengumuman tersebut dibuat selama acara KTT perusahaan pada pertengahan Mei dan akan dikelola oleh Kubernetes melalui OpenShift Pipelines dan GitOps. Red Hat juga mengumumkan fitur teknologi penandatanganan konten sebagai bagian dari pembaruan pada Ansible Automation Platform.

“Otomasi adalah kuncinya karena semuanya bergerak dengan kecepatan tinggi,” Kirsten Newcomer, direktur cloud dan strategi DevOps di Red Hat, mengatakan saat briefing media di Red Hat Summit. “Anda perlu memikirkan bagaimana Anda dapat mengotomatisasi rantai pasokan.”

Bisakah pelanggaran signifikan lainnya dari rantai pasokan perangkat lunak terjadi lagi? Para pemimpin pemikiran di bidang keamanan siber menjelaskan bahwa bahaya selalu ada. Kerusakan di masa depan dari peretasan rantai pasokan akan tergantung pada bagaimana setiap organisasi berusaha memahami alat perangkat lunak apa yang digunakan dan dari mana asalnya. Itu akan membutuhkan proses evaluasi dan, pada akhirnya, adopsi banyak alat perlindungan yang sedang dipertimbangkan saat ini.

“Perangkat lunak diserang melalui kerentanan dalam perangkat lunak saat dikerahkan dan juga dalam rantai pasokan — rantai itu dari jari dan kepala pengembang, di suatu tempat sampai ke tempat penerapannya,” kata Wheeler dalam presentasinya di bulan Februari. “Jika Anda peduli dengan keamanan, maka Anda mengevaluasi perangkat lunak untuk memutuskan apakah itu memenuhi kebutuhan Anda.”

Gambar: Getty Images

Tunjukkan dukungan Anda untuk misi kami dengan bergabung dengan Cube Club dan Komunitas Pakar Acara Cube kami. Bergabunglah dengan komunitas yang mencakup Amazon Web Services dan CEO Amazon.com Andy Jassy, ​​pendiri dan CEO Dell Technologies Michael Dell, CEO Intel Pat Gelsinger dan banyak lagi tokoh dan pakar.

Untuk saat ini bermain togel sidney dan keluaran togel sydney sangatlah mudah, para pemain cukup bermodal smartphone dan jaringan internet untuk sanggup melacak bandar togel sidney dan toto sgp di pencarian google. Namun, wajib anda mengerti tidak seluruh web togel sidney dan toto sgp yang tersedia di pencarian google bisa kami percayai. Karena pada waktu ini telah terkandung ratusan website togel online penipuan yang cuma ingin meraih keuntungan sepihak. Oleh sebab itu kini kami menyarankan anda untuk bermain togel sidney dan togel singapore di website terpercaya dan formal seperti