.
SCSW Em uma escala de 1 a 10, sendo 10 o maior risco, o diretor de segurança da informação da Snap, Jim Higgins, classifica o risco da cadeia de suprimentos de software em “cerca de 9,9”
Dez, para constar, é “sempre higiene de segurança”, disse ele Strong The One. Parece que estamos longe de evitar o próximo cenário no estilo SolarWinds.
Não apenas a cadeia de suprimentos está em alto risco, mas também é um problema de segurança difícil de corrigir porque um único produto pode ter dezenas de milhares de dependências de software.
“É um problema de física”, disse Higgins, pois os pacotes de software dependem de muitas outras bibliotecas de software de código aberto e de terceiros. E basta um bug em um deles para tornar sua organização o próximo conto de advertência.
A coisa mais importante que seus colegas CISOs podem fazer para melhorar a segurança da cadeia de suprimentos é saber qual software sua organização usa e entender as dependências em toda a cadeia de suprimentos, de acordo com Higgins. Ele recomenda adicionar um inventário completo de bibliotecas em uso como ponto de partida para corrigir o problema, para que a equipe de segurança saiba exatamente o que verificar.
“Entender seu inventário é absolutamente o número 1”, disse ele. “É 50 por cento do problema. Se você puder entender onde tudo está e um CVE ocorrer, pelo menos você saberá imediatamente o que precisa fazer e onde.”
Ah, e também, não se esqueça de corrigir. ®
.
