የመንግስት ሴክተር አሁንም በአንዳንድ አካባቢዎች ከግሉ አቻው ይበልጣል
የማሰብ ችሎታ ያላቸው የሶፍትዌር ደህንነት መፍትሄዎች ግንባር ቀደም አቅራቢ የሆነው ቬራኮድ ዛሬ ባካሄደው ጥናት በመንግስት ሴክተር ድርጅቶች የተዘጋጁ መተግበሪያዎች በግሉ ሴክተር ውስጥ ከተፈጠሩ አፕሊኬሽኖች የበለጠ የደህንነት ጉድለት አለባቸው ብሏል። እነዚህ ጉልህ ግኝቶች ናቸው ምክንያቱም ብዙ የመተግበሪያ ድክመቶች ከፍ ካለ የአደጋ ደረጃዎች ጋር ስለሚዛመዱ። ጥናቱ የሳይበር ደህንነትን ለማጠናከር በፌዴራል መንግስት በቅርቡ ካደረጋቸው እጅግ በጣም ብዙ ተነሳሽነቶች አንዱ ሲሆን ይህም ተልእኮ-ወሳኝ የመንግስት ተግባራትን በሚያከናውኑ አፕሊኬሽኖች ላይ ያለውን ተጋላጭነት ለመቀነስ የሚደረገውን ጥረት ጨምሮ።
ተመራማሪዎቹ በመንግስት ሴክተር ድርጅቶች ከተዘጋጁት መተግበሪያዎች ውስጥ 82% የሚጠጉ መተግበሪያዎች ባለፉት 12 ወራት ውስጥ ባደረጉት ጥናት ቢያንስ አንድ የፀጥታ ችግር ከግሉ ሴክተር ድርጅቶች 74% ጋር ሲወዳደር ተገኝቷል። እንደተገለጸው የስህተት አይነት፣የህዝብ ሴክተር አፕሊኬሽኖች ባለፉት 12 ወራት ውስጥ ከ7-12 በመቶ ስህተት የማስተዋወቅ እድላቸው ከፍተኛ ነው።
"በሕዝብ እና በግሉ ሴክተር አፕሊኬሽኖች ውስጥ ባለው የስህተት ክስተት መጠን መካከል ያለው ልዩነት ከፍተኛ ነው። መንግስት ክፍተቱን መዝጋቱን መቀጠል አለበት። የህዝብ ደህንነት ተሟጋቾች እንደመሆናቸው መጠን የመንግስት ኤጀንሲዎች ይህንን ክፍተት በመዝጋት ሀገሪቱን እና ዜጎቿን ለመጠበቅ የፀጥታ ጥበቃን የማጠናከር ሃላፊነት አለባቸው ሲሉ የቬራኮድ የምርምር ዳይሬክተር ክሪስ ኢንጅ ተናግረዋል።
በ27 አፕሊኬሽኖች ውስጥ ከ750.000 ሚሊዮን በላይ ስካን የተሰበሰበ መረጃ ትንተና የቬራኮድን የቅርብ ጊዜውን የሶፍትዌር ደህንነት ሁኔታ አመታዊ ሪፖርት ለማዘጋጀት አግዟል። ይህ አዲስ ሪፖርት የፌዴራል፣ የክልል እና የአካባቢ መንግስት ግኝቶችን ጨምሮ ከእነዚያ ስካን እና አፕሊኬሽኖች የህዝብ ሴክተር-ተኮር ግኝቶችን ይዘረዝራል።
አሃዞች ብቻ የጠላፊ ድርጊቶች የሶፍትዌር ስህተቶችን እና ተጋላጭነቶችን ሲጠቀሙ የሚያስከትለውን መዘዝ አይገልጹም። በዚህ አመት በግንቦት ወር መጀመሪያ ላይ በዳላስ ከተማ ላይ የደረሰው የራንሰምዌር ጥቃት የህዝብ ደህንነት ኤጀንሲዎች የሚጠቀሙባቸውን የኮምፒዩተር ስርዓቶችን ጨምሮ የህዝብ አገልግሎቶችን ዋና ተግባር አናውጦ ነበር። ጥቃቱ ከተፈጸመ ከሶስት ሳምንታት በላይ በዳላስ ያሉ የህዝብ ኤጀንሲዎች አሁንም አላገገሙም።
የቬራኮድ ጥናት የህዝብ ሴክተር ድርጅቶች ለምን የመተግበሪያ ደህንነት ላይ ብሩህ ተስፋ እንዳላቸው አጉልቶ አሳይቷል። በ16,5 ወራት ጊዜ ውስጥ በህዝብ ሴክተር አፕሊኬሽኖች (12%) ውስጥ "በጣም ከባድ" ስህተቶች መገኘቱ ከህዝብ ሴክተር ካልሆኑ መተግበሪያዎች (19%) ያነሰ ነበር። ይህ በጣም አስፈላጊ ነው, ምክንያቱም በጣም ከባድ የሆኑ ስህተቶች, ጥቅም ላይ ከዋሉ, በስርዓቶች ላይ የበለጠ አሉታዊ ተፅእኖ ሊኖራቸው ይችላል.
የዘመናዊ አፕሊኬሽን ፍተሻ የተለያዩ የደህንነት መቃኛ መሳሪያዎችን መጠቀምን ያበረታታል፣ ለምሳሌ Static Security Testing (SAST) እና Software Composition Analysis (SCA)፣ ምክንያቱም የተለያዩ የፍተሻ አይነቶች የተለያዩ አይነት ስህተቶችን ለመለየት በጣም ጥሩ ናቸው። SAST እና SCA በግሉ ሴክተር ውስጥ ካሉ መተግበሪያዎች በሕዝብ ሴክተር ውስጥ ባሉ አካላት ዝቅተኛ መቶኛ ውስጥ የመተግበሪያ ስህተቶችን አግኝተዋል።
የኤስሲኤ መሳሪያዎችን ሲጠቀሙ ያነሱ ስህተቶችን መለየት የሜይ 2021 አስፈፃሚ ትዕዛዝ (EO 14028) የመጀመሪያ ተፅእኖን ሊያመለክት ይችላል ይህም የአሜሪካ የፌደራል ኤጀንሲዎች የሶፍትዌር አቅርቦት ሰንሰለትን ለመጠበቅ ጥረቶችን እንዲያጠናክሩ መመሪያ ይሰጣል። ይህ ኢኦ በተጨማሪም የሶፍትዌር ሂሳቦችን (SBOMs)፣ በሶፍትዌር ውስጥ ጥቅም ላይ የሚውሉ ንጥረ ነገሮች ዝርዝሮችን በስፋት መጠቀምን ይጠይቃል፣ በዚህም መጋራትን፣ ግልፅነትን እና ታይነትን ያጎለብታል። በሌላ ቦታ፣ የፌዴራል ስጋት እና የፈቃድ አስተዳደር ፕሮግራም (FedRAMP) የደመና ምርቶችን እና አገልግሎቶችን የደህንነት ግምገማ መደበኛ ያደርገዋል። በተመሳሳይ፣ StateRAMP የክልል እና የአካባቢ መንግስታት የደመና አገልግሎት አቅራቢዎችን ከሳይበር ደህንነት ፖሊሲዎች ጋር መከበራቸውን እንዲያረጋግጡ ያስችላቸዋል።
በመንግስት እና በግሉ ሴክተር አፕሊኬሽኖች መካከል ያለው ትልቅ ልዩነት ፍተሻ በፈጣን ጊዜ ያለፈባቸው ሶፍትዌሮች አዳዲስ ስህተቶችን እንዴት እንደሚያገኝ ነው። ሶፍትዌሩ ለአምስት ዓመታት ሲሰራ ሁለቱ ኢንዱስትሪዎች በከፍተኛ ሁኔታ ይለያያሉ፡ በግሉ ሴክተር አፕሊኬሽኖች ውስጥ የገቡት አዳዲስ ስህተቶች መጠን ይጨምራል፣ በመንግስት ሴክተር ኤጀንሲዎች ግን መጠኑ ይቀንሳል።
ይህ አዝማሚያ የሚያመለክተው የመንግስት ሴክተር ኤጀንሲዎች በጠቃሚ ሕይወታቸው የመጀመሪያዎቹ ጥቂት ዓመታት ውስጥ ብቻ ሳይሆን በጊዜ ሂደት ደህንነታቸውን ለመጠበቅ የበለጠ ትኩረት እየሰጡ ነው። ከመንግስት ውጭ ያሉ አፕሊኬሽኖች በአንፃሩ አዳዲስ ስህተቶች ጊዜ ያለፈባቸው ሲሆኑ ቀስ በቀስ እና በየጊዜው እየጨመሩ ይሄዳሉ።
"የፐብሊክ ሴክተሩ መንግስታችንን የሚያገለግሉ አፕሊኬሽኖች ደህንነትን በማጠናከር ረጅም ርቀት ተጉዟል ነገር ግን ኤጀንሲዎች የሳይበርን አቀማመጥ ለማሻሻል እና የሚመጡ ስጋቶችን ለመከላከል ገና ብዙ ይቀራሉ። የደህንነት ጥረቶችን በአብዛኛዎቹ የሳይበር ጥሰቶች ዋና መንስኤ ላይ በማተኮር - የመተግበሪያው ንብርብር - ኤጀንሲዎች አስፈላጊውን ማሻሻያ ማድረግ ይችላሉ። በተለያዩ የፈተና ዓይነቶች በየጊዜው መቃኘት እና የደህንነት ዕዳን መፍታት - የሶፍትዌር ውስጥ የተከማቸ የስርዓት ደህንነትን አደጋ ላይ የሚጥሉ ድክመቶችን - ለመንግስት ኤጀንሲዎች የበለጠ አስተማማኝ የወደፊት ተስፋ መንገድ ይከፍታል "ሲል ኢንጂነር ደመደመ።
ከቬራኮድ የሶፍትዌር ደህንነት ሪፖርት የመንግስት ሴክተር ጥናት ሙሉ እትም ይገኛል እና በመንግስት ኤጀንሲዎች ላይ ንፅፅር መለኪያዎችን ያቀርባል።
የቬራኮድ አመታዊ የሶፍትዌር ደህንነት ሁኔታ ሪፖርት ቅጽ 13 የሶፍትዌር መልክዓ ምድሩን የሚቀርጹትን ታሪካዊ አዝማሚያዎች እና የደህንነት ልማዶች በእነዚህ አዝማሚያዎች እንዴት እንደሚለወጡ ይመረምራል። የዚህ አመት ውጤቶች በቬራኮድ አገልግሎቶች እና ደንበኞች በሚቀርቡት ሁሉም ታሪካዊ መረጃዎች ላይ የተመሰረተ እና ትላልቅ እና ትናንሽ ኩባንያዎችን, የንግድ ሶፍትዌር አቅራቢዎችን, የሶፍትዌር የውጭ ምንጮችን እና ክፍት ምንጭ ፕሮጀክቶችን ይወክላል. ሪፖርቱ በቬራኮድ ደመና ላይ በተመሰረተ መድረክ በኩል የማይንቀሳቀስ ትንተና፣ ተለዋዋጭ ትንተና፣ የሶፍትዌር ቅንብር ትንተና እና/ወይም በእጅ የመግባት ሙከራ በተደረጉ መተግበሪያዎች ላይ ውጤቶችን ይዟል። ሪፖርቱ በቬራኮድ ደንበኞች የቀረበውን መረጃ እና በቬራኮድ ትንተና ሂደት ውስጥ የተሰላ ወይም የተገኘውን መረጃ ይመለከታል።
BlogInnovazione.it
የበይነገጽ መለያየት መርህ ከአምስቱ የ SOLID መርሆዎች የነገር ተኮር ንድፍ አንዱ ነው። አንድ ክፍል ሊኖረው ይገባል…
ማይክሮሶፍት ኤክሴል የመረጃ ስብስቦችን ለማደራጀት ብዙ ባህሪያትን ስለሚሰጥ የመረጃ ትንተና ዋቢ መሳሪያ ነው…
ከ 2017 ጀምሮ በሪል እስቴት Crowdfunding መስክ በአውሮፓ ውስጥ ካሉ መሪዎች መካከል ዋሊያንስ ፣ ሲም እና መድረክ ማጠናቀቁን ያስታውቃል…
Filament "የተጣደፈ" የላራቬል ልማት ማዕቀፍ ነው, በርካታ ሙሉ-ቁልል ክፍሎችን ያቀርባል. ሂደቱን ለማቃለል የተነደፈ ነው…
"የእኔን ዝግመተ ለውጥ ለማጠናቀቅ መመለስ አለብኝ፡ እራሴን በኮምፒዩተር ውስጥ አቀርባለሁ እና ንጹህ ሃይል እሆናለሁ። አንዴ ከተቀመጠ…
ጎግል DeepMind የተሻሻለ የአርቴፊሻል ኢንተለጀንስ ሞዴሉን እያስተዋወቀ ነው። አዲሱ የተሻሻለው ሞዴል ብቻ ሳይሆን…
በሚያማምሩ አገባብ እና ኃይለኛ ባህሪያት ዝነኛ የሆነው ላራቬል ለሞዱላር አርክቴክቸርም ጠንካራ መሰረት ይሰጣል። እዚያ…
Cisco እና Splunk ደንበኞቻቸው ወደ የደህንነት ኦፕሬሽን ሴንተር (SOC) በ…