Liderzy ds. bezpieczeństwa i twórcy systemu skorzystają z głębszej widoczności postawy bezpieczeństwa rozwoju systemu w swoich organizacjach w trakcie pracy, wspierając działania w kierunku nirwany tak zwanego kodu bezpiecznego w fazie projektowania, dzięki wprowadzeniu pierwszego w branży rozwiązania od specjalisty w tej dziedzinie Bezpieczny Wojownik Kodu (SCW).
SCW Trust Agent depcze po piętach wprowadzenie SCW Trust Scorebranżowy punkt odniesienia, który po raz pierwszy mierzy kompetencje programistów systemu w zakresie bezpieczeństwa w organizacjach.
Wykorzystuje ten sam zbiór danych milionów punktów edukacyjnych zebranych od setek tysięcy programistów, aby pomóc użytkownikom zrozumieć, czy kod przekazywany do publicznych repozytoriów open source opartych na Git jest gorący do wykorzystania, czy też może być ryzykiem w przyszłości. Ma nadzieję, iż rozwiązanie stanie się integralną częścią bezpieczny cykl rozwoju oprogramowania.
„W Secure Code Warrior otwieramy nowe możliwości dla CISO, udostępniając im łatwe do wdrożenia rozwiązanie do pomiaru kondycji zatwierdzonych kodów i wglądu w setki repozytoriów kodu źródłowego w ich organizacji” — powiedział Pieter Danhieux, współzałożyciel i dyrektor generalny firmy.
„Nasze innowacje pozwalają organizacjom lepiej zniwelować lukę widoczności między umiejętnościami programisty a jakością generowanego kodu bez uszczerbku dla szybkości rozwoju”.
Trust Agent będzie działać z dowolnym repozytorium opartym na Git, w tym GitHub, GitLab, Atlassian Bitbucket i innymi. Działa poprzez badanie zatwierdzonego kodu, aby sprawdzić, czy osoba przesyłająca jest oznaczona jako posiadająca wymagany zestaw umiejętności bezpiecznego kodu w języku programowania tego zatwierdzenia, i wykorzystuje te informacje do oceny kondycji zatwierdzenia. Te zastrzeżone oceny mogą być następnie agregowane w innych repozytoriach.
SCW uważa, iż Trust Agent zapewni większą kontrolę i elastyczność, jeżeli chodzi o gatekeeping deweloperów. Na przykład pozwoli administratorom na skonfigurowanie zasad i kryteriów, aby upewnić się, iż deweloperzy spełniają podstawowy zestaw oczekiwań przed rozpoczęciem pracy, podczas gdy w przypadku luk w umiejętnościach zidentyfikowanych dzięki jego użyciu, zwinna platforma edukacyjna firmy może zostać wprowadzona do gry.
Ogólnie rzecz biorąc, rozwiązanie zapewni ulepszone kontrole bezpieczeństwa, z konfiguracją zasad, którą można dostosować do wrażliwości potrzeb projektu; kompleksową widoczność, w tym praktyczne informacje na temat stanu bezpieczeństwa zatwierdzonych kodów; oraz bezpieczeństwo na dużą skalę zarządzane przez deweloperów, co umożliwi szybszą i bezpieczniejszą realizację projektów, a zespoły ds. bezpieczeństwa aplikacji będą mogły skupić się na najbardziej poufnych przeglądach.
Chaos w CrowdStrike’u
Choć SCW nie przedstawiło żadnych zapewnień, czy jego rozwiązania mogłyby wspólnie zapobiec chaosowi wywołanemu przez niepewną aktualizację CrowdStrike, która tymczasowo zepsuł miliony komputerów z systemem Windows w zeszłym tygodniu premiera nastąpiła w momencie, gdy kwestia integralności rozwoju systemu jest bardzo ważna.
Jednakże, z problemem prowadzącym do incydentu teraz pewnie zidentyfikowany jako stosunkowo powszechna luka w zabezpieczeniach systemu C++ znany jako dereferencja zerowa w pamięci jądra, Danhieux powtórzył niedawne wezwania organów bezpieczeństwa – takie jak CISA w USA – wzywając deweloperów do odejścia od języków, które nie są bezpieczne dla pamięci, aby lepiej unikać tego typu luk w zabezpieczeniach.
Pisanie na platformie mediów społecznościowych LinkedInpowiedział, iż byłoby to trudne zadanie dla CrowdStrike. Wynika to z faktu, iż większość kodu na poziomie jądra jest napisana w C++, więc rzeczy, które są ładowane do pamięci jądra lub muszą uzyskać do niej dostęp, takie jak wykrywanie i reagowanie punktów końcowych (EDR) w przypadku CrowdStrike, będą musiały z niego korzystać w przewidywalnej przyszłości.
Danhieux stwierdził, iż błędy dereferencji zerowej mogą zdarzyć się w wielu okolicznościach i są „całkiem niewinnymi i łatwymi do popełnienia błędami”.
Dodał jednak, iż organizacje przez cały czas powinny podejmować kroki, aby ich unikać w swoich projektach. „Gdy atakujący je odkryje, mogą zostać wykorzystane w ataku typu „odmowa usługi” lub po prostu spowodować awarię aplikacji lub całego systemu operacyjnego” – wyjaśnił.
„SCW oferuje wytyczne dotyczące kodowania specyficzne dla danego języka, filmy instruktażowe i wiele praktycznych wyzwań związanych z kodowaniem w C/C++, obejmujących dereferencję zerową” – dodał Danhieux.
