“Nesigurno u bilo kojoj brzini”. Upoređujući automobile u kodu

Pokažite mi poticaj i pokazaću vam ishod

Očigledno je usporedba između automobilskih rizika u 1960-ima i softverskim riziku u modernoj eri. Inovacije za brzu tehnologiju rezultirala je nesigurnim proizvodima koji se svakodnevno koriste. Softverski svijet, slično automobilskoj industriji u 60-ima, prioritetno predstavlja brzinu puštanja, karakteristika i funkcionalnosti i guranje granica i ograničenja sigurne upotrebe, sve u ime prodaje više proizvoda i inovacije nove ponude brže od vaših konkurenata. Programeri softvera suočavaju se sa kontinuiranim pritiskom da bi se što brže oslobodili, često na štetu sigurnosti koda. Sigurnost se shvata kao usporavanje razvojnog ciklusa i često je vijak nakon činjenice.

Da citiram Veliki Charlie Munger “, pokažite mi poticaj i pokazaću vam ishod.” Programeri softvera ne pišu siguran kod jer nemaju poticaj za to. Da bi se stvari pogoršale, kompanije koje rade na vrlo malo poticaj da se fokusiraju na sigurnost svojih proizvoda. IT i CISO kupci kupuju nesigurni kod sve dok postoji kod koda.

Automobilska industrija imala je sličan problem – automobili kupljeni u tu točku nisu kupljeni jer su bili sigurni. Ljudi nisu išli u automobilske zastupnike (jesu li imali zastupnike u 60-ima?) I postavljali pitanja o sigurnosnoj ocjeni vozila ili ako je imala srušeni upravljački stup i podstavljena nadzorna ploča. Kupili su vozila na bazi izgleda, stila, vrhunske brzine i ubrzanja, a najvažnije, radost koju su dobili tokom rada novog načina prevoza. Sigurnost nije bila potrebna karakteristika i tako je bila pokupila. To je gotovo identično kako smo danas izgradili i kupili softver. Prioritet ćemo i kupujemo na temelju vrijednosti koju dobivamo iz softvera, sa malo zanimljivosti za koliko je to sigurno.

Ne postoji poticaj da daju prioritet sigurnosti kada to nije ono što kupci zahtijevaju. Automobilska industrija zahtijevala je priznanje potrošača o problemu, što rezultira otačanjem za bolje sigurnosne standarde prije nego što proizvođači automobila “gube svoje vrijeme” na značajkama sigurnosti proizvoda.

Nećemo videti “nesigurnu u brzini softvera” u trenutku 2025. godine

Softverska industrija nije naučila iz prošlosti automobila u industriji u nekoliko ključnih razloga. Prije svega, kad uđete u saobraćajnu nesreću, postoji netrivijalna šansa za gubitak života. Ljudi umiru kada nema sigurnosnih karakteristika prisutnih u svojim automobilima, pa čak i mali broj smrti neprihvatljiv za javnost. Posljedice nesreće na motornim vozilima bile su neposredne i visceralne i ostavile su trajni dojam u umu onih koji su bili u jednom ili su vidjeli. Softver je različit. Kada softver na vašem televizoru, na primjer, pauze, samo se ponovo pokrećete.

Donedavno, u najgorem slučaju, velika većina softverskih nedostataka rezultirala je kompromisom nekih anonimnih korporativnog subjekta s malo bez noga na populaciji. Sigurno, možda postoji vrlo mala šansa da su njihovi računi bili ugroženi, novac direktno ukraden od njih ili prevara počinjena protiv njih, ali većina sveta potrošača vjeruje da su mi “koja mi se neće dogoditi”, i po zakonu velikih brojeva, vjerovatno su u pravu. A ako to učini, oni su osigurani, pokriveni zbog gubitka, a većinu vremena pati samo da ne može preskočiti puno obruča kako bi povratili ono što su izgubili.

Zbog ovog Laissez-Faire-a prema rizicima, softverskoj industriji je mnogo lakše zanemariti problem, pisati ga kao trošak poslovanja. Drugim riječima, nema potražnje za promjenama.

Pored razlike u riziku između automobila i softverskih ranjivosti, složenost softverskog pejzaža patuljaka sa automobilom 1960-ih. Ako bismo mogli brzo implementirati četiri do šest softverskih procesa i popraviti cjelokupni globalni registar rizika softvera, obećavam da ćemo. Problem je mnogo složeniji i izazovniji za popravljanje nego manje od 10 velikih proizvođača automobila iz 1960-ih morali su shvatiti. Ako su danas postojale samo 10 firmi za razvoj softvera, bilo bi lakše promjene mandata.

Međutim, softver je bukvalno u svemu što mi dodirnemo. Od IOT uređaja do kućanskih aparata do dječjih igračaka – Softver je pojeo svijet, čineći da osiguravajući taj softver mnogo težeg zadatka. Automobilski graditelji morali su napraviti nekoliko promjena u svojim proizvodima i bili su spremni za prodaju. Nisu morali da menjaju čitav proizvodni svijet za svaki proizvod na raspolaganju javnosti da se kreću prema sigurnosti. Evo gdje usporedba nedostaje.

SBD i Pritisni za osiguranje našeg softvera

Ova nevjerovatna razina složenosti postavlja pitanje ko je odgovoran za učvršćivanje problema. U maju je 2024. godine bio glavni guranje za dobavljače softvera za potpisivanje zaloga “siguran dizajnom (SBD)”. Trenutno je preko 250 kompanija obavezalo da se osigurava načelima dizajna i osiguravajući da se njihov softver kreira sa visokim sigurnosnim standardima na svakom koraku razvoja.

Volim siguran dizajnerski zalog, ali 250 kompanija je kap u kantu; Prema Cyberdb-u ima preko 3.500 cyber sigurnosnih kompanija sama. Ovo su samo kompanije koje rade na tome da osiguraju naš svakodnevni život. 250 potpisa je puki blim u odnosu na broj kompanija u Sjedinjenim Državama. Neka istraživanja tvrde preko 33 milijuna preduzeća u samoj Americi u SAD-u, od kojih su većina malih poduzeća. Težak je problem stiže do prevrtanja koja je potrebna za poduzeća širom SAD-a, i svijeta, kako bi shvatili da je rizik previsok i promjena zahtjeva iz svojih dobavljača softvera.

Istraživanje sa Univerziteta u Pensilvaniji Annenberg škola za komunikaciju i školu inženjerstva i primijenjene nauke pokazuje da je potrebno otprilike 25% stanovništva da bi se pogodilo prevrtanje za velike društvene promjene. Nismo ni blizu.

Ono što mislim da bismo trebali razmišljati o tome da ne popravljamo probleme sa sigurnosnim problemima ili brže, ali umjesto toga, kako dođemo do prelaznog točka gdje se poticajna struktura mijenja i softver svijeta počinje se popraviti. Ako tako mislimo na ovaj način, brzo vidimo da će promjena doći samo kada se provodi temelj zahtjeva kupca i propisima koji se provodi vladini.

Pričvršćivanje sigurnog koda kao pokreta 2025. godine

S obzirom na negativne izglede i kaljenu očekivanja koja sam predstavila, vjerovatno žalite zbog čitanja ovog članka. Volio bih da odete sa suprotnom idejom u vašem mozgu i možda se približite 2025. godine kao godine u kojoj se softverska industrija može više pomaknuti približajniju točku prevrtanja za izradu softvera za izgradnju softvera.

Slično pitanjima o kojima se razgovaralo u Nesigurni u bilo kojoj brziniKompanije koje pišu bilo koje vrste nastavljat će se pritiskati na vlasništvo nad problemom i pokušati odbiti ili zanemariti odgovornost za bilo kakve zdravstvene, sigurnosne i sigurnosne probleme. Kako se softver sve više koristi u životnim i smrtim situacijama kao što su zdravstvena zaštita, automobilska, hitna komunikacija itd. Poziva poslovanja i kupca za manje rizika.

Ako smo dovoljno glasni, odgovornost softvera prebacit će se na one koji grade proizvod, a kad se radi, poticajne strukture će se promijeniti, a kompanije će posvetiti mnogo više pažnje na rizike za vlastiti posao. Nažalost, mislim da nikada nećemo doći do točke gdje se preduzeća ne brinu dovoljno o sigurnosti koda kako bi je prioritetno prioritetno zato što je to pravo učiniti za svoje kupce. Umjesto toga, da bi se postigli naši ciljevi, moramo učiniti imperativ za zdravlje i uspjeh njihovog poslovanja da napiše sigurniji kodeks, a jedini način da se to učini da bi ovo bilo vrlo glasno i promjene potražnje.

Dakle, šta možete učiniti kao CISO i IT softverski kupac 2025. godine kako biste pomogli da pomaknete iglu i raste prema sigurnom prelaznom mjestu? Prvo i najvažnije, treba nam svaki od vas da se educira na rizicima softverskih nedostataka i pomažu u artikuliranju ovih pitanja programerima softvera koji kupujete ili licencirate. Korisnici i programeri moraju biti svjesniji važnosti sigurnosti i potencijalnih posljedica ranjivosti softverskih ranjivo i na kompaniju koja prodaje softver i ljude koji ga koriste.

Drugo, i vjerovatno kritičnije, morate gurnuti predstavnike i agencije vlade da se oni više obrazovaju na temu i izgrade jače propise i standarde za sigurnu kreiranje softvera. Automobilski automobil nikada ne bi postao sigurnije ako vladine agencije nisu ušli i stavljali propise i standarde koji su zahtijevali da motorna vozila imaju barem minimalni nivo sigurnosti. Moramo imati propise u svijetu softvera koji postavljaju prevrtanje na dohvat ruke, a na kupcima i korisnicima softvera da guraju vladu na ovom frontu. Odgovornost se mora vratiti natrag u graditelju, što se događa samo kada se vlada uključi. Uzet će vojsku, ali ako visećimo dovoljno glasan s vremenom, kupite samo softver koji je napisan sigurno, i napravi dovoljno značajnog nivoa buke, možemo nastaviti polako marširati prema poboljšanju.

Spor marš na “siguran u svim brzinama”

Baš kao Nesigurni u bilo kojoj brzini Bio je poziv za buđenje za automobilsku industriju, sve veća svijest o sigurnosnim pitanjima softvera i utjecaj ranjivosti na ljudsku sigurnost i zdravlje izgradnju je pritisak na slično računanje u svijetu softvera. Moramo nastaviti kretati prema a Siguran u Sve Brzine Svijet razvoja softvera.

Mislim da nećemo vidjeti tačku prevrtanja 2025. godine, ali svaki od nas mora pristupiti ovoj promjeni s jednoličnim okupljanjem plaka za izgradnju jačine zvuka koji se traži na najvišim nivoima. Hvala, Jen Istary i Tim CISA-e, za zemlju koji ste učinili prema ovom pokretu, a nadam se da će 2025 godina u kojoj ćemo raditi zajedno na uspehu.