Enable javascript in your browser for better experience. Need to know to enable it? Go here.
Atualizado em : Mar 29, 2022
Mar 2022
Experimente ? Vale a pena ir atrás. É importante entender como desenvolver essa capacidade. As empresas devem experimentar esta tecnologia em um projeto que possa lidar com o risco.

Com a pressão contínua para manter os sistemas seguros e nenhum sinal de recuo no cenário geral de ameaças, uma lista de materiais de software (software bill of materials ou SBOM) legível por máquina pode ajudar os times a se manterem atualizados sobre os problemas de segurança em suas bibliotecas de confiança. A recente exploração remota de dia zero do Log4Shell foi crítica e teve amplo alcance; se os times tivessem uma SBOM pronta, poderiam ter verificado e corrigido rapidamente. Agora, temos experiências usando SBOMs em produção em projetos que vão de pequenas empresas a grandes multinacionais e até departamentos governamentais, e temos convicção de que as listas trazem benefícios. Ferramentas como Syft facilitam o uso de uma SBOM para detecção de vulnerabilidades.

Oct 2021
Avalie ? Vale a pena explorar com o objetivo de compreender como isso afetará sua empresa.

Em maio de 2021, a Casa Branca dos EUA publicou sua ordem executiva para melhorar a segurança cibernética da nação. O documento apresenta vários mandatos técnicos relacionados a itens que apresentamos em edições anteriores do Radar, como arquitetura de confiança zero e digitalização de conformidade automatizada usando política de segurança como código. Grande parte do documento é dedicado a melhorar a segurança da cadeia de suprimentos de software. Um item em particular que chamou nossa atenção foi o requisito de que o software governamental deveria conter uma lista de materiais de software (Software Bill of Materials ou SBOM) legível por máquina, definida como "um registro formal contendo os detalhes e as relações da cadeia de suprimentos de vários componentes usados no desenvolvimento de software." Em outras palavras, a lista deve detalhar não apenas os componentes enviados, mas também as ferramentas e os frameworks usados para entregar o software. Esse pedido tem o potencial de inaugurar uma nova era de transparência e abertura no desenvolvimento de software. Isso, sem dúvida, terá um impacto sobre quem cria software como profissão. Muitos, senão todos os produtos de software produzidos hoje, contêm componentes de código aberto ou os empregam no processo de desenvolvimento. Frequentemente, o público consumidor não tem como saber qual versão de qual pacote pode ter um impacto na segurança de seu produto. Em vez disso, contam com os alertas de segurança e patches oferecidos pela fornecedora de varejo. Essa ordem executiva garantirá que uma descrição explícita de todos os componentes seja disponibilizada ao público consumidor, habilitando-o a implementar seus próprios controles de segurança. E como a SBOM é legível por máquina, esses controles podem ser automatizados. Notamos que esse movimento também representa uma mudança no sentido de adotar o software de código aberto e abordar de forma prática os riscos e benefícios de segurança oferecidos.

Publicado : Oct 27, 2021
Radar

Baixar o Technology Radar Volume 26

English | Español | Português | 中文

Radar

Mantenha-se por dentro das tendências de tecnologia

 

Seja assinante

Visite nosso arquivo para acessar os volumes anteriores