Technology sharing

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

fontem:https://thehackernews.com/2024/06/practical-guidance-for-securing-your.html

Non mirum est quod Instituta programmata programmata moderativa et legalia augere nituntur ut eorum copiam catenas tueantur et integritatem programmatis eorum curent. Praeter paucos annos, copia programmatis catenae oppugnatoribus magis magisque amabilis facta est, qui occasionem eorum impetus augendi per ordines magnitudinis vident. Exempli gratia: vide Log4j vulnerabilitates in anno 2021. Log4j (fons apertus compage colligationis ab Apache conservata et infinitis diversis applicationibus adhibita) fons erat vulnerabilities qui mille systemata in periculo posuit.

Communicatio functionis Log4j vulnerabilis est, ita opportunitatem oppugnatoribus praebens codicem malignum in tigna injicere, quae tunc in systemate exsecutioni mandari possunt. Post eius inventionem, investigatores securitatis decies centena millia rerum inceptis viderunt, quarum multae impetus in negationem-of-servitium (DoS) verterunt. Secundum novam investigationem aliquam ex Gartner media fere Instituta incepti erunt iaculis a copia catenarum oppugnationum ab 2025 programmatibus.

Sed quae est programmatis copia catenae? Primum definitur summa totius codicis, populi, systematis et processuum intra et extra organizationem quae ad progressionem et traditionem artificialium programmatum conferunt. Quod ad obtinendum in programmatis copiam catenam tam provocantem facit, est multiplicitas ac natura applicationum recentiorum applicationum enucleatorum valde distributarum. Organizationes utuntur global iunctiones e chirographorum, qui inaudito numero dependentiae fons apertae nituntur, ac amplissima repositoria ac registria artificiorum, CI/CD tibiarum, ac facultates infrastructuras ad applicationes aedificandas et explicandas.

Dum securitatis et obsequium semper summa cura pro inceptis Institutis fuerunt, tuendi instrumenti programmatis copiam catenae magis magisque provocant. Sed multae institutiones substantiales progressum fecerunt in exercitiis DevSecOps exsequendis, et multae ex eis adhuc inveniuntur in primis temporibus quid faciendum remanens.

Hoc prorsus est cur hunc articulum simul ponimus. Cum sequentia neutiquam tractata sunt, hic quattuor principia diriguntur quae programmatum tuum copiam catenae securitatis nisus in rectum directum movere possunt.

Considerate omnes facies software copiam catenam applicando securitatem

Cum plus quam 80% e basium codicem continent saltem unum fontem apertum vulnerabilitatem, OSS clientelas naturaliter facti sunt nucleus umbilici programmatis copia catenae securitatis. Autem, moderna copia programmatum catena comprehendit alias res quarum situs securitatis vel neglectus vel non late intra ordinationem recte tractandam intellegitur. Haec entia sunt code repositoria, CI, CD, pipelines, infrastructurae, et registralia artificiatorum, quorum singula requirit securitatem regimina et obsequia regularia censibus.

Tabularia qualia sunt OWASP Top-10 pro CI/CD et CIS copia programmatum catena securitatis benchmarks. Cum his compagibus obsecundans RBAC subtilis erit, principium minimi privilegii applicans, continentia et infrastructura sicut codicem ad vulnerabilitates et misconfigurationes, segregans aedificationes, applicationes securitatis integrans probationis, et secreta recte administrandi — pauca nominare.

SBOM est critica ad determinandum nullus dies et aliae quaestiones componentes

Pars Ordinis Exsecutivae 14028, a Domo Alba media ad 2021 edita ad cybersecuritates nationis roborandas, effectores programmantes requirit ut libellum Materiae Software (SBOM) suis clientibus foederatis praebeat. SBOMs sunt monumenta formalia essentialiter disposita ad visibilitatem in omnibus componentibus quae programmatum praebent. Singulos apparatus-readabiles enumerationem praebent omnium fontium aperti et tertii bibliothecarum partium, clientium ac partium ad programmatum aedificandum.

Utrum ordinatio ab EO 14028 mandatur, generans et administrans SBOMs pro artificialibus programmatibus pretiosum est praxis. SBOM instrumentum pernecessarium est ad quaestiones componentes fixendas vel nuditates nullas hodie. Cum in promptuario quaesibili repositum, SBOM mappam praesentiae singularium dependentiarum praebet et iunctiones securitatis dat ut vulnerabilitates ad partes affectas cito reducant.

Administrandi software progressio lifecycle per consilium ut codice

In mundo recentis applicationis evolutionis, custodes petrarum solidi sunt instrumentum essentiale in tollendis erroribus et actionibus voluntariis, quae securitatem et obsequium componunt. Proprium regimen in toto programmate supplet catenam significat institutiones facilem ad res rectas et difficillimas iniurias faciendas fecerunt.

Cum multa suggesta et instrumenta machinarum quae celeriter exsecutioni mandari possunt, politiae-as-Code, innixa in Agens industriae normae Open Policy, auctori et exsecutioni dat plene agendi rationes. Politiae agendae ab accessu permissionum ad usum OSS dependentiarum permittendi vel negandi innixi criteria quaestionis venditoris, versionis, sarcinae domicilii, ac licentiae.

Facultatem cognoscere et curare fiducia in vestri software artificialia utens SLSA

Quomodo users et perussi scit software fidelem esse? Cum fidem artificii programmatis determinaveris, scire voles qui codicem scripserit, qui aedificavit, et quid suggestum evolutionis aedificatum sit. Sciens quae intus sunt, etiam aliquid scire debes.

Semel comprobare potes proveniam (monumentum originum programmatum et catenam custodiae) diiudicare potes num programmati confidas. Ad hunc finem, compages creata est Supple Catena Graduum Artifactorum Software (SLSA). Organizationes programmae programmae dat ut informationes capiant ex quavis speciei programmatis catenam suppleant, proprietates artificiorum cognoscant earumque aedificationum et periculum securitatis quaestiones minuant. In praxi, programmata productionis SLSA postulationibus compage adoptare et parere debent et methodum confirmandi et generandi testationes programmatum efficiendi, quae authenticas affirmationes (metadata) de artificialibus programmatis per programmatum catenam supplent.