Yazılım geliştiricilerin tedarik zinciri güvenlik sorunu var


Log4j, çoğu geliştiriciyi yazılım tedarik zinciri güvenlik sorununa uyandıran soğuk su kovasıydı.

Yazılım geliştirme ve üretim ortamımızı saplantı haline getirme konusunda onlarca yıl harcadık. Ama birinin masasının altında oturan yamasız Jenkins kutuları üzerine inşa ediyoruz. Tüm bu zamanı çalışma zamanlarımızı korumak için harcıyoruz, ardından amatör araçları kullanarak onlara dağıtıyoruz.

Yapı ortamlarımız, üretim ortamlarımız kadar güvenli değildir.

Son 12 ayda SolarWinds’ten Codecov saldırısına, Travis CI sırları sızıntısına kadar birçok yüksek profilli saldırıya yol açan şey buydu. Altyapımızı korumada o kadar iyi olduk ki saldırganlar daha kolay bir yol aradı ve bunu tedarik zincirinde açık bıraktığımız kapılarda buldu.

Çevre güvenliğinden içeri giremez misin? Sadece bir açık kaynak bağımlılığı veya kitaplık bulun ve bu şekilde girin. Ardından tüm müşterilere dönün. Bu, modern yazılım tedarik zinciri hack’idir.

Yazılım için güven köklerine ihtiyacımız var

Bugün insanlar için güven köklerimiz var. İki faktörlü kimlik doğrulamamız var, tanımlama sistemlerimiz var. Bunlar bir kişinin kimliğine kefil olacak şeylerdir. Ve donanım aynı şeye sahiptir. Şifreleme anahtarlarımız var. Önyüklendiğinde kurcalanmadığına güvenebileceğimiz donanımımız var.

Telif Hakkı © 2022 IDG Communications, Inc.



Kaynak : https://www.infoworld.com/article/3663689/software-developers-have-a-supply-chain-security-problem.html#tk.rss_all

Yorum yapın