Что такое безопасность цепочки поставок программного обеспечения?

Мы хотим, чтобы подкаст Dev Interrupted стал важной и приятной частью вашей недели. Пожалуйста, уделите 2 минуты и ответьте на вопросы нашего нового опроса слушателей. Это позволит нам узнать немного о вас, о том, чего вы хотите от Dev Interrupted и чего вы хотите от подкастов в целом!

Эта статья была написана для Dev Interrupted Льюисом Даулингом.

В типичной производственной компании цепочка поставок — это цепочка компаний, на которые вы полагаетесь при производстве своего продукта. Например, производитель мобильных телефонов покупает процессорные чипы у поставщика. Этот поставщик должен купить деталь у другого производителя. А этот производитель полагается на еще одну компанию для получения сырья.

Но что представляет собой цепочка поставок программного обеспечения? И как обеспечить ее безопасность? Мы поговорили с Кимом Левандовски, соучредителем и руководителем отдела продуктов компании Chainguard, чтобы объяснить детали.

Ваша цепочка поставок программного обеспечения сложнее, чем вы думаете

Цепочка поставок программного обеспечения может быть сложной. Главным образом потому, что трудно определить, насколько далеко она простирается. Возьмем простой пример: Если вы используете Salesforce для отслеживания своих клиентов, вы храните данные своих клиентов на серверах Salesforce. Не проблема, конечно? Но у Salesforce может быть нарушение. А как насчет самих серверов? Эти серверы могут работать под управлением Windows. Если там есть ошибка в системе безопасности, у хакеров есть еще один способ проникновения. А как насчет программного обеспечения, которое Salesforce использует для размещения своего веб-сайта? Если оно будет взломано, у вас появится еще одна брешь.

«Когда я думаю о цепочке поставок программного обеспечения, я имею в виду весь код, всю механику и процессы, которые были направлены на создание основной части программного обеспечения в конечном итоге», — объясняет Ким. «Это все кусочки и детали, которые идут на создание этих вещей». -На подкасте Dev Interrupted Podcast в 11:28

Обеспечение безопасности цепочки поставок программного обеспечения включает проверку того, у кого есть ключи

Важной частью обеспечения безопасности цепочки поставок является отслеживание того, что вы используете. И проверка их надежности и безопасности. Каждая новая третья сторона может стать потенциальной проблемой. Если вы не проведете должной проверки, вы не будете знать, какому риску подвергаетесь.

Как объяснила Ким, ее любимой аналогией является мысль о строительных работах в собственном доме.

«У вас есть подрядчик. Им нужны ключи. У них есть субподрядчики. Вы выдаете ключи всем их субподрядчикам. Кто они? Откуда они? Какие материалы они приносят в ваш дом?» -В подкасте Dev Interrupted Podcast в 12:09

Чем больше сторонних инструментов вы используете, тем более неуправляемым он может стать

Все сводится к подотчетности. Это может легко начать быстро распространяться. Один сторонний инструмент, который вы используете для создания своего программного обеспечения, может полагаться на пять отдельных сторонних инструментов. И вы не знаете, какой код у них спрятан под капотом. Ваши ключи внезапно оказываются повсюду.

Единственный способ держать все под контролем — напоминать себе о необходимости проверки и регулярно проводить аудит используемых вами сервисов». Ким считает, что полезно думать о каждом новом инструменте как о посылке, приходящей в ваш дом.

«Как ваша посылка добирается до вашего дома?» говорит Ким. «На каком грузовике он едет и кто управляет этим грузовиком?». -На подкасте Dev Interrupted Podcast в 12:44

Получите полный текст беседы

Если вы хотите узнать больше о цепочке поставок программного обеспечения и о том, как обеспечить безопасность вашей цепочки, вы можете послушать полный текст беседы с Кимом на нашем подкасте.

Изголодались по высококлассному контенту по программной инженерии? Нужны дельные советы по управлению командой? Эта статья написана по мотивам Dev Interrupted — подкаста для руководителей инженерных компаний.

В Dev Interrupted принимают участие гости-эксперты со всего мира, которые обсуждают стратегию и повседневные темы, начиная от метрик команды разработчиков и заканчивая ускорением доставки. С новыми гостями каждую неделю, от Google до небольших стартапов, Dev Interrupted Podcast — это свежий взгляд на мир программной инженерии и инженерного менеджмента.

Слушайте и подписывайтесь на выбранный вами потоковый сервис уже сегодня.

Оцените статью
Procodings.ru
Добавить комментарий