.
entrevista Quanto mais notícias sobre segurança cibernética você lê, mais frequentemente parece ver uma frase familiar: Vulnerabilidades da cadeia de suprimentos de software (SSC). Varun Badhwar, fundador e CEO da empresa de segurança Endor Labs, não acredita que isso seja coincidência.
“Os números vão de 80 a 90 por cento para talvez 95, 98, 99 por cento do seu código em um ambiente corporativo seria escrito a partir de fontes basicamente não confiáveis e não verificadas”, Badhwar, referindo-se à proliferação de pacotes de software de código aberto. , nos contou. “A cadeia de fornecimento de software será a próxima fronteira da segurança cibernética e dos ataques à segurança cibernética.”
Contornar esse tipo de problema exigirá boa documentação, disse-nos Badhwar, que, segundo ele, inclui listas de materiais de software confiáveis e melhor verificação de bibliotecas de código aberto. Você pode assistir ao vídeo completo abaixo.
Vídeo do youtube
Badhwar, cuja empresa vende produtos de automação de gerenciamento de CSC, naturalmente acredita que a automação é a solução para um melhor gerenciamento da cadeia de suprimentos de software, mas mesmo assim ele nos disse que um bom software não é a única solução.
“O código malicioso não aparece como um CVE ou como uma vulnerabilidade conhecida em seu banco de dados de vulnerabilidades”, acrescentou Badhwar. Então, o que uma empresa deve fazer? “Você precisa voltar atrás e reequipar toda a sua organização, observando os principais riscos em torno do código aberto”, aconselha Badhwar.
Mas, para que você não pense que isso é tudo que precisamos fazer para nos proteger melhor das explorações da cadeia de fornecimento de software, ainda não estamos nem perto de um SSC estável.
“Na analogia do beisebol, provavelmente estamos no primeiro ou no segundo turno e ainda temos um longo caminho a percorrer”, disse-nos Badhwar. Pode levar até uma década para conseguirmos controlar toda esta confusão.
Você pode assistir nossa entrevista completa acima. ®
.
