O movimento de transparência de software é um catalisador que impulsiona mudanças positivas em todo o setor. Na Cisco, reconhecemos o valor da transparência do software e pretendemos desempenhar um papel de liderança neste espaço. Continuaremos a trabalhar com clientes, órgãos de padronização e consultores políticos para ajudar a definir as melhores práticas e diretrizes relacionadas à transparência de software. Hoje queremos compartilhar algumas melhorias interessantes de segurança de código aberto que nossas equipes de desenvolvimento agora podem aproveitar.
Em uma postagem anterior sobre verificação de segurança de software de terceiros, descrevemos o serviço Corona interno da Cisco, que usa soluções de verificação proprietárias e disponíveis comercialmente para identificar componentes de software de terceiros. Corona também fornece validação de recursos de segurança aplicáveis em software Cisco lançado por meio de análise forense de componentes de software e riscos associados. Desde a postagem original, a plataforma Corona evoluiu significativamente e fornece à Cisco a base para abordar iniciativas recentes, como listas de materiais de software e a Estrutura de Desenvolvimento Seguro de Software do NIST.
Recentemente, habilitamos uma nova fonte de dados no Corona que nos dá visibilidade das práticas de desenvolvimento seguras usadas pelos mantenedores de código aberto, um vetor de risco para o qual anteriormente tínhamos dados limitados. Esta nova fonte de dados é fornecida pela Tidelift, uma empresa que trabalha diretamente com mantenedores de código aberto para implementar e validar práticas de desenvolvimento de software seguro líderes do setor. A abordagem da Tidelift fornece financiamento diretamente aos mantenedores de código aberto para desenvolver software seguro.
As equipes internas de desenvolvimento da Cisco, usando o Corona aprimorado com metadados de código aberto fornecidos pelo Tidelift, agora podem acessar metadados detalhados de pacotes e obter insights adicionais sobre vulnerabilidades, incluindo orientação diretamente dos mantenedores sobre gravidade, exposição e correção. Os desenvolvedores da Cisco podem revisar rapidamente as versões de pacotes recomendadas em linguagens de aplicativos como Java, JavaScript e Python. Os desenvolvedores podem realizar verificações de qualidade, ler dados em primeira mão de fornecedores (mantenedores), recuperar informações precisas sobre o fim da vida útil e até mesmo revisar scorecards do OpenSSF. Essa maior visibilidade permite que a Cisco impulsione um uso mais inovador e estratégico de código aberto em nossos canais de desenvolvimento, ao mesmo tempo que reduz o custo geral de gerenciamento de código aberto em nossa cadeia de suprimentos.
A plataforma Corona Third-Party Management é baseada no Cisco Vulnerability Management (anteriormente Kenna) para priorizar estrategicamente o desenvolvimento com base no risco. Com nossos dados Tidelift recentemente integrados, as equipes de desenvolvimento da Cisco agora têm uma visão unificada do risco. Isso inclui explorações em nível de pacote definidas por CVEs e riscos específicos do fornecedor, como práticas de desenvolvimento seguras, contagens de mantenedores e informações de fim de vida. Nossos desenvolvedores também têm uma visão mais completa do risco, incluindo dependências transitivas de projetos de código aberto, onde eles têm pouco controle sobre as escolhas que os desenvolvedores de código aberto upstream estão fazendo. Essa perspectiva mais ampla permite que as equipes de desenvolvimento corrijam riscos de forma mais eficiente em nosso software.
À medida que as organizações aumentam o uso de código aberto em seus aplicativos, elas enfrentam o desafio crescente de mantê-lo bem mantido e seguro em escala. Estamos entusiasmados em desenvolver nosso relacionamento existente com a Tidelift como uma empresa do portfólio da Cisco Investments, disponibilizando os recursos da Tidelift aos desenvolvedores internos da Cisco por meio do serviço Corona.
Compartilhar:
FONTE