ITPros需要为企业联网软件提供软件帐单以防范潜在威胁
IT提供服务并扩展企业数据完整性的能力建基于网络和网络管理软件基础基础基础基础何在连网络团队都可能不知道
取企业内发现三种网络软件:开源自有并嵌入开源和完全自有
开源你知道
开源软件网络组件离散-ClearOS开关Vwitch、OOSDENT、Pfsense、SONICCE、Stratum、Ont切换选项数、路由选择数和安全性正在增长,单包正在成熟推广网络监控工具-Cacti、Creckmk、Nagos、Pandora、Prometheus、Zabbix-和可能性大增
企业大都不知道这些工具中到底有什么即使是给定工具内没有已知脆弱点-lálog4j-它肯定容易受下一个折中结果的影响而在野外发现漏洞时 与信息实现IT时 间可能有难以解析的长距离
并非每个人都会审核所有代码以确定它是否包含易损组件,但每个人都应准备或消化这些系统自动化代码分析多亏联邦政府推送不久将有方法发现代码使用:软件材料帐单详列软件包所有组件,包括第三方组件
开源你可能不知道
假设OSS可能嵌入网络中 某些专有软件覆盖这是log4j乱套中的一大块:OSS应用到各种内部和商业应用中开发者可能知道它, 网络团队上的人可能不知道
各种专有网络工具平台都可能发生类似事件, 包括数学库、图形库、数据库等数十个常用OSS项目以速度创新之名,软件开发者很少从头开始完全工作,一个大软件包可能依赖几十个其他软件包。
隐藏产权栈
隐藏依赖性有时存在于其他专利软件中,而不是OSS打包想想过去十年中发现的多多漏洞TCP/IP商业栈:Ripple20,一组漏洞影响TrckTCP/IP栈名:Wreck,一组脆弱点影响数栈中包括Express逻辑NetX和SiemensNucleusNet时间TCP/IP广布IOT设备使用栈此类漏洞还可能影响网络基础设施安全
目前没有人表示 IT商店可以审查 安全事务应用中的每一行代码联邦政府正率先处理问题的某些方面, 要求商贩证明遵循安全开发实践或显示哪里没有开发实践, 如何减少风险,并按请求制作全SBOM
企业应大声疾呼SBOMs购买并运行软件,尤其是建立网络基础的那些东西
