A Conferência RSA 2023 abordou várias questões e tendências importantes na indústria de segurança cibernética. A IA generativa foi um tópico importante de discussão, com participantes, executivos e legisladores vendo seu potencial tanto no ataque quanto na defesa na corrida armamentista da segurança cibernética. A Estratégia Nacional de Cibersegurança da Casa Branca também foi tema de conversa em painéis e palestras, propondo novos regulamentos para estabelecer padrões básicos de segurança cibernética e aumentar a colaboração público-privada na defesa da segurança cibernética e na interrupção de ameaças.
Neste artigo, resumimos os três principais temas do RSAC, além dos tópicos de tendência abordados durante nossas conversas individuais com a comunidade DevSecOps presente.
IA é uma faca de dois gumes no desenvolvimento de software
Organizações modernas com infraestruturas modernas trabalham em alta velocidade para desenvolver aplicações de missão crítica. Para acompanhar o ritmo, os desenvolvedores contam com IA e ChatGPT para ajudá-los a escrever códigos, que podem introduzir inadvertidamente pacotes maliciosos e CVEs em seus softwares. A IA também pode fazer parte da solução, com algoritmos de aprendizado de máquina utilizados como parte da automação de identificação de vulnerabilidades. Embora a IA possa desempenhar um papel importante no desenvolvimento de software, os seus riscos não devem ser negligenciados e devem ser utilizados com cautela pelas equipas de desenvolvimento de software.
As empresas favorecem plataformas em vez de soluções pontuais
Os participantes e especialistas em segurança enfatizaram a crescente complexidade do cenário da segurança cibernética e a proliferação de soluções pontuais. No entanto, concordaram que as plataformas eram uma melhor opção para as empresas, pois ajudam a minimizar a “expansão de ferramentas”. Está se tornando evidente que a era da dependência de soluções pontuais para proteger a cadeia de fornecimento de software acabou. Um excelente exemplo é que mesmo as equipes mais experientes tecnicamente estão lutando para conectar soluções de segurança complexas e díspares em seus fluxos de trabalho de DevOps e de cadeia de suprimentos de software. A complexidade pode resultar em lacunas não intencionais na cobertura e representa o seu próprio risco de segurança. Uma solução de plataforma também pode facilitar a consolidação de ferramentas.
Experiência em segurança incorporada na cadeia de fornecimento de software
Outro ponto de conversa em algumas das palestras e sessões de painel foi a escassez de talentos em segurança cibernética, sendo uma grande preocupação. Muitos executivos e decisores políticos expressaram a necessidade de as startups desenvolverem soluções que tornem a segurança cibernética avançada acessível aos não especialistas e que exija menos recursos para implementação por pequenas empresas e utilizadores comuns.
Feedback da comunidade
Entre as sessões principais, tivemos a oportunidade de conversar com os participantes e aqui estão alguns temas notáveis ??que surgiram dessas conexões 1:1.
Desenvolvedores, engenheiros de segurança de produtos e DevOps estão enfrentando dificuldades com:
Muitas vulnerabilidades para corrigir (incluindo falsos positivos)
Esforços manuais pesados ??necessários para especialistas em segurança
Os desenvolvedores usam OSS de repositórios públicos e outras fontes não confiáveis
Usando várias ferramentas de segurança AST com possíveis pontos cegos
Conseguimos demonstrar como abordar esses pontos problemáticos e como abordamos a segurança da cadeia de fornecimento de software a partir de uma perspectiva diferente e contextual. Entendemos que a análise do código-fonte não é suficiente para analisar verdadeiramente o contexto dos CVEs e descobrir a verdadeira compreensão contextual. Isso só pode ser alcançado observando o binário do software, que contém muito mais informações do que apenas o código-fonte.
Aqui estão os três principais recursos de segurança que mais chamaram a atenção dos participantes:
- Análise contextual para reduzir falsos positivos e cargas de trabalho de remediação com foco em CVEs exploráveis. Isto envolve uma análise detalhada da vulnerabilidade e sua aplicabilidade ao aplicativo. O recurso também fornece conselhos de correção específicos ao alcance dos usuários.
- Vá além do código-fonte e dos CVEs e identifique vulnerabilidades ocultas com detecção de segredos com foco em binários .
- Entenda o impacto e o raio de explosão das vulnerabilidades com a plataforma JFrog, proporcionando uma verdadeira compreensão do que você precisa corrigir.
A JFrog foi reconhecida pela Cyber ??Defense Magazine por ter a oferta DevSecOps mais abrangente – ganhando o Global InfoSec Award em 2023. A Cyber ??Defense Magazine recebeu mais de 4.300 inscrições para este prêmio de empresas de todo o mundo que gerenciam, criam e oferecem produtos e serviços de segurança da informação. Menos de 10% dos indicados foram escolhidos como VENCEDORES por terem um produto incrivelmente inovador com foco na prevenção hoje das violações de amanhã. Parabéns equipe!
Com mais de 600 fornecedores, mais de 700 palestrantes e mais de 26.000 participantes, o RSAC '23 foi um importante indicador de que proteger nossos dados, infraestrutura, redes, aplicativos e identidade é um objetivo comum nas comunidades de desenvolvedores, DevOps e segurança. A plataforma JFrog Software Supply Chain foi construída para atender às demandas modernas de desenvolvedores, operações e equipes de segurança.
Conteúdo postado originalmente em: Blog JFrog
Somos a Software.com.br, Representante Oficial JFrog no Brasil e também referência em soluções de tecnologia para o mundo corporativo na América Latina. Conte com nossos consultores especializados em Licenciamento de Software, Cibersegurança, DevOps, Infraestrutura e Data Analytics.
Veja mais sobre JFrog em nosso site: Software.com.br
