يمكن أن يكون التوفيق بين الجوانب العديدة لسلسلة توريد البرامج أمرًا صعبًا، مع الأخذ في الاعتبار الحاجة إلى تأمين المكونات والأنشطة والممارسات المعنية. ومع ذلك، لا يتطلب الأمر الكثير لزعزعة سلسلة التوريد المتناغمة وإنشاء أعمال روتينية باهظة الثمن لمديري الأعمال. يمكن أن تكون الكارثة بسيطة مثل تحديث برنامج واحد، أو تكوين خاطئ، أو ثغرة أمنية في مكون مفتوح المصدر، مما يؤدي إلى حدوث اضطرابات كبيرة في عملك.
في هذه الجلسة الرئيسية المؤرشفة، يشرح كاندي ألكساندر، CISO ورئيس الممارسات السيبرانية في NeuEon، كيفية التعامل بشكل أفضل مع جميع التعليمات البرمجية التي تقوم بتشغيلها حتى تتمكن من دعم المطورين وإدارة المخاطر والاستجابة للتغيير بسلاسة وأمان. كان هذا الجزء جزءًا من ندوتنا المباشرة عبر الإنترنت بعنوان “دليل CISO لسلسلة توريد البرمجيات”. تم تقديم الحدث بواسطة InformationWeek في 21 مارس 2024.
شاهد الندوة المباشرة عبر الويب “دليل CISO لسلسلة توريد البرامج” بالكامل حسب الطلب هنا.
نسخة من الفيديو يلي أدناه. تم إجراء تعديلات طفيفة من أجل الوضوح.
كاندي ألكسندر: عندما نتحدث عن سلسلة توريد البرمجيات، وما هي، أود أن أقترح أن هذا كان مفهومًا موجودًا منذ بداية الهندسة. ومع ذلك، أصبح مصطلح سلسلة توريد البرمجيات مستخدمًا على نطاق واسع. لقد اهتم بها العديد من الأشخاص بسبب الأحداث التي شهدناها مؤخرًا، بدءًا من عام 2020 بهجوم سلسلة التوريد SolarWinds، تلاه مباشرة ثغرة Log4J Shell في عام 2021.
وبهذه الأحداث نشير الآن إلى هذا المنظور الكامل لما يتضمنه تطوير منتجك أو برنامجك. مرة أخرى، لأسباب غير معروفة أو غير معترف بها، ضاع مفهوم هندسة البرمجيات على مر السنين بسبب التركيز على الجداول الزمنية والتسليم. لقد فقدنا قيمة وجود عملية كاملة للنظر في ما يتضمنه دورة حياة تطوير البرامج أو سلسلة التوريد.
أتذكر إجراء محادثة مع صديقة وزميلة، وهي ماري آن ديفيدسون، مديرة أمن المعلومات لشركة Oracle. لذا، كنت أنا وماري آن نحضر حدثًا، وكانا يتحدثان عن SBOMs [pronounced “s-bomb,” for software bills of materials]. لقد طرح أحدهم تلك الكلمة المكونة من أربعة أحرف والتي كانت ماري آن تعارضها بشدة. لقد توقفت حقا وفكرت، لماذا؟ سوف تسمعني أتحدث كثيرًا عن SBOMs أو قائمة مواد البرنامج. أود أن أقترح أن سلسلة توريد البرامج ليست SBOM، وأن SBOM ليس بالأمر السيئ.
والأهم من ذلك، في هذه المرحلة من محادثتي معك، أود منك أن تفكر في حقيقة أن SBOM هو أحد مكونات سلسلة توريد البرامج. إذا تمكنا من تحديد وتيرة وأرضية هذه المحادثة حول هذه المفاهيم، أعتقد أننا سنحقق نتائج جيدة. الآن بعد أن فهمنا ما هي سلسلة توريد البرمجيات، دعنا ننتقل إلى المحادثة التالية. لماذا من المهم جدًا استخدام أو الحصول على سلسلة توريد برمجيات؟ حسنًا، هناك الكثير هنا لأفرغه.
شاهد الندوة المباشرة المؤرشفة عبر الإنترنت “دليل CISO لسلسلة توريد البرامج” عند الطلب اليوم.
