La introducción del código de seguridad del software del Reino Unido es una señal sólida del gobierno que requiere una actualización básica para proteger la cadena de suministro de software.
Sin embargo, aunque el código de práctica es un paso adelante encomiable, si no se nos alienta a administrar un cero -cv (debilidad general y exposición) desde el inicio, nos falta una gran oportunidad: uno de los controles críticos para crear una cadena de suministro de software segura y elástica.
El software de código abierto (OSS) sustenta la mayoría de las partes de la infraestructura digital actual hasta equipos críticos del sector público desde el servicio en la nube. Sin embargo, su poder ubicuo significa debilidad, accidental o contaminada, inevitable.
Eliminarlos puede ser complicado y lento, y a menudo las empresas dejan sus mejores expectativas. El CVE no marcado es efectivamente un rollo de dados que puede conducir a la confusión del producto, o dar a un mal actor que necesitan pasos para infiltrarse en el sistema.
VP International en Chowgard.
Una encuesta reciente de Changard descubre cuán profundo se ha impulsado, en promedio, las agencias que CVE Remedy ha ahorrado $ 2.1 millones anuales, una cifra que aumenta más en sectores como el comercio de clientes, donde los artículos frecuentes de liberación y microsurvace.
Las compañías de atención médica ya han visto hasta $ 50 millones en $ 50 millones, la mayoría de los cuales han surgido del riesgo de disminuir el precio.
Es un síntoma claro que centrarse en el remedio CVE después de la verdad no es solo ineficiente, es costoso y receptivo. Con un método en práctica cero-civie, las empresas ven alertas bajas, un fuego bajo, un bajo retraso y un entorno de construcción fundamentalmente seguro desde el principio.
CVE Condram: neto de una protección defectuosa
CVE, por naturaleza, obliga a las empresas a ponerse al día en un juego constante. Las partes están constantemente siendo debilidades familiares cuando reaparecen activamente el negocio real de proteger activamente el software y la innovación.
La conversación de protección de software del Reino Unido debe transferirse a la creación de protección preventiva en el tejido de la cadena de suministro de software, no solo reacciona después de una violación.
De hecho, las agencias empresariales han reportado los ahorros anuales promedio de $ 44 millones de dólares mientras se cura CVS en su entorno de construcción, que tiene un precio principalmente en exposición al riesgo e innovación rápida.
El código de práctica del Reino Unido indica la importancia del primer método de desarrollador. Requiere una mejor transparencia, un fuerte proverbio y responsabilidad limpia.
Sin embargo, esta ambición no cae lo suficiente sin cambiar la forma en que pensamos sobre CVS. Civios no nos digan cuán creíble es la pieza de software; Simplemente nos dicen dónde estaban los fallas familiares ayer.
Incluso antes de su existencia, debemos mirar el flujo para lidiar con las debilidades.
Protección práctica, no Patchwork
El original es adoptar marcos seguros por defecto y amigables para los desarrolladores. En lugar de confiar en el equipo de escaneo y las auditorías después de la verdad, debemos hornear la protección en nuestro software y crear una cadena de suministro transparente.
Los productos y servicios de diseño protegidos son el lado correcto del Reino Unido, pero debemos asegurarnos de que este método se haya expandido a las fuentes abiertas de este método que incluye la mayoría de la región de software que no aborda el código de práctica indirectamente, pero no aborda la profundidad.
Si vemos eventos recientes del Reino Unido, el ataque del NHS Ranswear o la violación de datos de M&S, vemos evidencia clara de reducir la abreviatura de protección.
Cada incidente induce un escaneo y parche de CVE en las empresas dañadas, pero este ciclo de revueltas y reparaciones es inestable.
Los equipos sufren luchas, se monta el estrés y en serio. Este ciclo no es sostenible. La gestión práctica de riesgos necesita un cambio con urgencia, los desarrolladores proporcionan las herramientas necesarias para comprender, controlar y verificar el software desde su primer día.
Como vimos por primera vez cómo asegurar el proceso de construcción, para comprometerse con el compromiso, el despliegue, la exposición de la debilidad puede reducirse severamente. Los métodos de Provence-Primer confirman que cada línea del código es autenticada y traída.
Qué hacer al Reino Unido
Entonces, ¿las empresas del Reino Unido se ven bien para recibir un nuevo código de práctica?
Primero, significa invertir en los procesos de construcción protegidos para adelantarse a los CV que renuncian a menos debilidad en los parches. En segundo lugar, significa una clara y poderosa factura de software (SBOM) para priorizar la transparencia.
Permite a los desarrolladores y equipos de seguridad saber exactamente qué hay en su software, de dónde proviene y cuán creíble es. Finalmente, se trata de transferir la mentalidad organizacional hacia la resistencia de practicar la vulnerabilidad al realizar un parche reaccionario.
Las iniciativas del Reino Unido, las agencias gubernamentales y las PYME son de manera similar, la protección del software ya no puede ser el próximo pensamiento reaccionario. Debe integrarse en el ADN de cómo desarrollamos, implementamos y administramos el software: cómo resistimos la debilidad y el control de las tuberías de construcción protegidas.
Existe la oportunidad de liderar el mundo para proteger el software práctico en el Reino Unido, pero solo si salimos de la solución de mosaico. Incorporar prácticas seguras por defecto, crear cadenas de suministro transparentes y a partir de la línea de base cero VV, podemos proteger nuestro futuro digital antes de que nos titulemos y asegurarnos de que el motor de innovación del Reino Unido se impulse de manera protectora que en debilidad pasada.
Hemos atribuido los mejores cursos de ciberguez en línea.
Este artículo fue producido como parte del canal de Insight Specialist TechRaderPro, donde somos la mejor y brillante mente brillante en la industria de la tecnología. Las opiniones publicadas aquí están en el autor y no son esenciales para TechroderPro o Future PLC. Si está interesado en contribuir, busque más aquí:
