Budni kupci su najbolji recept za odgovorne dobavljače

U današnjem digitalnom svijetu siguran softver nije samo značajka – to je zahtjev. Rizik od naprednih prijetnji i cyber napada zahtijeva kupce koji drže dobavljače softvera i dobavljače odgovorne za sigurnost. Ako to ne učinite, mogao bi dovesti do povećanih rizika, sigurnosnih kršenja i potencijalnim oštećenjem digitalnog ekosustava.

Razumijevanje odgovornosti dobavljača softvera je neophodno. Sigurnost treba ugraditi, a ne dodata kasnije. Ovo zahtijeva proaktivan pristup provođenju sigurnosnih kontrola i procesa prije razvoja koda. Mjere kao što su siguran pregled dizajna, modeliranje prijetnje, sigurne prakse kodiranja, rigorozno testiranje i tekuća upravljanja ranjivošću svi su dio sigurnosnog ciklusa sigurnog softvera. Ovaj proaktivni pristup trebao bi uvjeriti kupce koji su softverske dobavljače posvećene sigurnosti. Dobavljači softvera moraju biti transparentni u vezi sa usvajanjem softverskih računa materijala (SBOM) – detaljne liste svih komponenti, uključujući otvorene ovisnosti. Ova transparentnost omogućava organizacijama da razumiju rizike povezane sa bibliotekama treće strane i donose informirane odluke o rizicima koji su voljni da prihvate.

Razgovarajmo o tome zašto su odgovornost. Prvo, urođene ranjivosti u softveru za dobavljače mogu ugroziti osjetljive podatke i kritičke operacije u kompromitu. Drugo, uspješno iskorištavanje ovih ranjivosti moglo bi dovesti do kršenja sigurnosti, izlagati organizacijama na maglene novčane kazne, pravne obveze i reputaciona oštećenja. Treće, adresiranje ranjivosti u proizvodnom okruženju dodaje značajne troškove sigurnosnim politikama preduzeća, prakse ažuriranja i bilo kakve ranjivosti ili kršenja otkrivenih nakon izlaganja. Finansijski i reputacijski rizici ne održavaju dobavljače softvera odgovornim za sigurnost su značajni, čineći je kritičnim aspektom nabavke softvera.

Postoji nekoliko koraka, kupci mogu poduzeti za izradu radova na odgovornosti.

• Kupci bi trebali uključivati ​​eksplicitne sigurnosne zahtjeve u ugovorima, na osnovu poštivanja najboljih praksi, redovne sigurnosne revizije i protokole o otkrivanju ranjivosti. Neuspjeh u ispunjavanju ovih standarda treba imati opipljive posljedice, poput financijskih kazni ili raskida ugovora.
• Kupci bi trebali tražiti certifikate ili neovisne revizije za provjeru sigurnosnih tvrdnji dobavljača. Certifikati kao što su SoC2, Fedramp ili PCI DSS dokazuju da je dobavljač pretrpio rigoroznu procjenu. Kupci bi također trebali zatražiti pristup sigurnosnim nadzornim pločama ili izveštajima da nadgledaju zdravlje sistema svojih dobavljača tokom vremena.
• Kupci bi trebali procijeniti sigurnosno držanje dobavljača, povijest kršenja i sposobnost ispunjavanja zahtjeva za usklađenosti. Primjena zahtjeva za dobavljače za otkrivanje njihovog sigurnosnog procesa u sigurnosnom ciklusu softvera (SDLC) i sigurnosne mjere.
• Propisi poput opće regulacije podataka EU (GDPR) i američki Cyber-sigurnosni model Certifikat modela (CMMC) stvaraju okvire koji mandat odgovornosti u lancima opskrbe. Kupci bi trebali iskoristiti ove propise kako bi osigurali poštivanje i poticanje dobavljača da se usklade sa širim pravnim standardima.

Sigurni softver više nije fakultativan. Kupci imaju moć – i obvezu – održati dobavljače i dobavljače odgovorne zahtjevnim većim standardima, provođenjem poštivanja ugovora i korištenje regulatornih okvira. Čineći to, oni štite svoje interese i doprinose sigurnom digitalnom svijetu.

Aditya K Sood je potpredsjednik sigurnosnog inženjerstva i AI strategije u ARYAKA.

Pročitajte više o sigurnosnim i kodiranjem aplikacija

• Sigurni softver: Dobavljači treće strane Vaš rizik prve stranke

  Napisao: Ejona preci

• Sigurna nabavka softvera u 2025. godini: poziv za odgovornost

• “Nesigurno u bilo kojoj brzini”. Upoređujući automobile u kodu

  Napisao: Tyler Shields

• CNI operatori trebaju pitati ovih 12 pitanja svojih dobavljača

  Napisao: Alex Scroxton