Opublikowany: 03 lutego 2025
W dzisiejszym cyfrowym świecie, bezpieczne oprogramowanie to nie tylko funkcja – to wymaganie. Ryzyko zaawansowanych zagrożeń i cyberataków wymaga odbywających kupujących dostawców systemu i dostawców odpowiedzialnych za bezpieczeństwo. Nieprzestrzeganie tego może prowadzić do zwiększonego ryzyka, naruszeń bezpieczeństwa i potencjalnych szkód ekosystemu cyfrowego.
Zrozumienie obowiązków dostawców systemu jest niezbędne. Bezpieczeństwo powinno być wbudowanenie dodano później. Wymaga to proaktywnego podejścia do wdrażania kontroli bezpieczeństwa i procesów przed opracowaniem kodu. Środki takie jak bezpieczny przegląd projektowania, modelowanie zagrożeń, bezpieczne praktyki kodowania, rygorystyczne testy i ciągłe zarządzanie podatnością są częścią bezpiecznego cyklu życia oprogramowania. To proaktywne podejście powinno uspokoić kupujących, iż dostawcy systemu są zaangażowani w bezpieczeństwo. Dostawcy systemu muszą być przejrzyste w zakresie przyjęcia rachunków za oprogramowanie (SBOMS)-szczegółowe listy wszystkich komponentów, w tym zależności open source. Ta przejrzystość pozwala organizacjom zrozumieć ryzyko związane z bibliotekami stron trzecich i podejmować świadome decyzje dotyczące ryzyka, które są gotowi zaakceptować.
Omówmy, dlaczego ma znaczenie odpowiedzialność. Po pierwsze, nieodłączne luki w oprogramowaniu dostawców mogą zagrozić poufnym danemu organizacji organizacji i krytycznych operacji. Po drugie, skuteczne wykorzystanie tych luk może prowadzić do naruszeń bezpieczeństwa, narażania organizacji na wysokie grzywny, zobowiązania prawne i szkody reputacyjne. Po trzecie, zajęcie się lukami w środowisku produkcyjnym zwiększa znaczne koszty do zasad bezpieczeństwa firm, praktyk aktualizacji oraz wszelkich luk lub naruszeń odkrytych po zwolnieniu. Ryzyko finansowe i reputacyjne braku odpowiedzialności za dostawców systemu jest znaczące, co czyni go kluczowym aspektem zaopatrzenia w oprogramowanie.
Istnieje kilka kroków, w których klienci mogą podjąć, aby uczynić odpowiedzialność.
- Kupujący powinni zawierać wyraźne wymagania bezpieczeństwa w umowach, nakazując zgodność z najlepszymi praktykami, regularne audyty bezpieczeństwa i protokoły ujawniania informacji o zagrożeniach. Nieprzestrzeganie tych standardów powinno mieć namacalne konsekwencje, takie jak karny finansowe lub rozwiązanie umowy.
- Kupujący powinni szukać certyfikatów lub niezależnych audytów w celu zweryfikowania roszczeń bezpieczeństwa dostawcy. Certyfikaty takie jak Soc2W Fedramp, Lub PCI DSS Udowodnij, iż dostawca przeszedł rygorystyczną ocenę. Kupujący powinni również poprosić o dostęp w czasie rzeczywistym do pulpitu bezpieczeństwa lub raporty w celu monitorowania zdrowia systemów swojego dostawcy w czasie.
- Kupujący powinni ocenić postawę bezpieczeństwa dostawcy, historię naruszeń i zdolność do spełnienia wymagań dotyczących zgodności. Egzekwuj wymagania dla dostawców w celu ujawnienia procesów i środków bezpieczeństwa bezpiecznego rozwoju systemu (SDLC).
- Przepisy takie jak ogólne rozporządzenie w sprawie ochrony danych UE (RODO) i USA Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) Utwórz ramy, które wymagają odpowiedzialności między łańcuchami dostaw. Kupujący powinni wykorzystać te przepisy, aby zapewnić zgodność i zachęcić dostawców do dostosowania się do szerszych standardów prawnych.
Bezpieczne oprogramowanie nie jest już opcjonalne. Kupujący mają władzę – i obowiązek – do odpowiedzialności dostawców i dostawców, wymagając wyższych standardów, egzekwując zgodność poprzez umowy i wykorzystując ramy regulacyjne. W ten sposób chronią swoje interesy i przyczyniają się do bezpiecznego cyfrowego świata.
Aditya K Sood jest wiceprezesem ds. Inżynierii bezpieczeństwa i strategii AI w Aryaka.
Przeczytaj więcej na temat bezpieczeństwa aplikacji i wymagań kodowania
