För varje företag i varje bransch är konkurrensen sannolikt att komma från en okänd start som den är från etablerade rivaler. I den moderna ekonomin, om du inte innoverar snabbt nog, kommer du att springa över av någon som är. Fråga bara broadcast- och kabeltelevisionsföretag om Netflix. Fråga Hilton och Marriott om Airbnb. Rädslan för döden kan vara en kraftfull motivator.

Några av de största utmaningarna för befälhavare är ledarskap som ligger på sina laureller, djupt inbäddade kulturella normer och långvariga silor uppförda av mjukvaruutveckling, applikationssäkerhet och IT-driftsteam. De förankrade kulturella normerna och silosbränslefriktionen minskar hastigheten och minskar innovation.

Denna skarpa verklighet och rädsla för döden är varför många organisationer inte längre ser mjukvaruutveckling som en kostnad för att göra affärer, utan snarare som en kärnkompetens och strategisk imperativ som definierar hela företaget. Alla företag är nu mjukvaruföretag. Det är också varför organisationer runt om i världen i allt högre grad omfattar ett koncept som heter DevOps - där väggarna mellan IT-operationer och utvecklare slits ner, slöseri med slöseri och samverkan i stor skala. Ju snabbare företag ger värde till marknad, desto mer marknadsför dem dem.

Den öppna källans magi

Gå in i öppen källkodsutveckling - det mirakelläkemedelsval som drivs av DevOps och modern mjukvaruutveckling.

Öppna källkomponenter, eller återanvändbara, samhällsutvecklade programvarudelar, tillåter företag att spara tid och pengar, förbättra kvaliteten, leverera företagets smidighet och mildra (vissa) affärsrisker. Konceptet är inte nytt. Långt före tillkomsten av öppen källkod, sa Isaac Newton berömd: "Jag ser vidare genom att stå på giganters axlar och upptäcker sanning genom att bygga på tidigare upptäckter." Denna idé är en främsta orsaken till att öppna källkomponenter är så attraktiva för utvecklingslag. Detsamma gäller för den ökande användningen av containeriserade applikationer. Enkelt uttryckt, fri och öppen tillgång till befintliga programkomponenter och containrar eliminerar återuppbyggnaden av hjul och exponerar programvara till ett globalt samhälle av “medutvecklare,” att tänka på och expandera på.

Med så många fördelar är det inte konstigt att 80-90 procent av en modern applikation består av öppna källkomponenter. Och också varför 80-90 procent av den moderna infrastrukturen containeriseras.

Du kanske frågar dig själv - vad är fångsten? Tja - medan dessa delar spelar en viktig roll för att driva innovation och driva världen som vi känner till, skapas inte alla delar lika. Vår analys av nedladdade öppna källkomponenter från Central Repository (den största och mest aktiva databasen av Java-open source-komponenter) visade att i 2017 innehöll 1 av 8 komponenter som hämtades av UK-utvecklarna en känd säkerhetsproblem.

Dessa sanningar är inte okända på marknaden. Heartbleed var en ökänd öppen källkodssårbarhet. Equifax bryts genom en sårbar öppen källkomponent. Och enligt DevSecOps Community Survey från 2018 av över 2000 IT-proffs misstänkte eller bekräftade 3 av 10 ett open source-relaterat brott i 2017.

Enligt samma undersökning har endast 6 av 10 organisationer en politik som kräver utvärdering av open source-komponenter på något stadium av utvecklingslivet. Men med mycket av det kravet att förlita sig på tråkiga manuella recensioner utanför utvecklingsledningarna är verkligheten att politiken ofta ignoreras (46 procent av tiden) och defekter fortsätter att gå ner i strömmen till färdiga applikationer. Open Source och DevOps ger företagen möjlighet att hålla sig levande och i många fall out-thrive deras konkurrent, men att innovation inte ska och behöver inte vara till nackdel för sina kunder.

Regleringens roll

Storbritanniens nationella cyber säkerhetsstrategi 2016-2021 förklarade det “Företagen och organisationerna bestämmer var och hur man ska investera i cybersäkerhet baserat på en kostnadsbedömningsbedömning, men de är slutligen ansvariga för säkerheten i deras data och system.” Denna ansvarsbegrepp tillämpas alltmer inte bara i Förenade kungariket utan i hela världen, eftersom regeringar upprättar bestämmelser.

Till exempel meddelade både franska lagstiftare och den brittiska regeringen nyligen hårdare riktlinjer för tillverkare av apparater. Förenade kungariket krävde specifikt att säkerhet måste byggas in i smarta enheter från början och att programvaran uppdateras automatiskt.

EU har gått igenom en av de mest diskuterade bestämmelserna med den kommande generella databeskrivningsförordningen (GDPR). Artikel 32 i GDPR anger att företag måste “genomföra lämpliga tekniska och organisatoriska åtgärder” till “säkerställa fortlöpande sekretess, integritet, tillgänglighet och robusthet för bearbetningssystem och tjänster.” I kombination med artikel 25, som föreskriver att dataskyddsåtgärder ska genomföras “genom design och som standard”, Det är uppenbart att integritet och säkerhet måste bli inkräkta på alla delar av IT-infrastrukturen. Om du misslyckas med att följa dessa regler och kända sårbarheter blir oavsiktligt att hjälpa hackare att stjäla känsliga konsumentuppgifter, kan du böta upp till 20 miljoner euro eller 4 procent av den globala årliga omsättningen - desto större av de två.

Som en följd av den europeiska politiken införde fyra amerikanska senatorer en tvåsidig lagstiftning som heter Internet of Things Cybersecurity Improvement Act. Enligt en faktablad som släpptes utöver lagstiftningen, “Medan "Internet of Things" (IoT) -enheter och de data som de överför nuvarande enorma fördelar för konsumenterna, ger den relativa osäkerheten hos många enheter enorma utmaningar.” Lagstiftningen kräver specifikt att säljare säljer IoT-enheter “att tillhandahålla skriftlig certifiering att enheten inte vid tidpunkten för inlämningen av förslaget innehåller någon hårdvaru-, programvaru- eller firmware-komponent med kända säkerhetsproblem eller defekter.”

Med stor kraft kommer stort ansvar

Denna regel med inriktning mot konsumentskydd är inte ny. För fem år sedan kunde ingen automaker skicka kända defekta Takata krockkuddar i ett fordon. Regulatorer införde riktlinjer för foderråvaror för att begränsa spridningen av galen ko sjukdom för över 20 år sedan.

Att överlåta på tillverkare av enheter och organisationer som utvecklar programvara för att säkerställa att det är säkert från början och över tiden återspeglar liknande bestämmelser som styr konsumentskydd i andra branscher. Det är särskilt viktigt när programvaran nu kontrollerar vår hälsa (t ex internetanslutna pacemakers), vår transport (t.ex. autonoma fordon) och vår ekonomi (till exempel onlinebankapplikationer).

Idag är applikationsattacker och överträdelser ofta resultatet av lätt utnyttjande - och lättlättad - sårbarheter. Medan vi tycker om att tänka att företag skulle självreglera sin cybersäkerhetshygien i vår mjukvarufridda värld, indikerar dagliga brottrubriker att regeringens bestämmelser kan vara en nödvändig motivator för åtgärder.

Om ingen annan tillverkningsindustri får transportera kända utsatta eller defekta delar i sina produkter, varför skulle mjukvaruproducenterna vara annorlunda? I någon annan bransch skulle det anses vara grov oaktsamhet.

Kör aldrig kända defekter nedströms

Lyckligtvis löses många av utmaningarna som är relaterade till användningen av kända sårbara programkomponenter enkelt. Stora och små företag sätter DevSecOps principer och praxis på jobbet. En av de viktigaste principerna härrör från DevSecOps ledare Gene Kim och hans roman, Phoenix Project, som styr, “Betona prestanda för hela systemet och aldrig passera en defek nedströms”.

För företag som beslutar att följa detta är automation avgörande. Den starka volymen av föremål som konsumeras av organisationer idag skulle överstiga något försök att manuellt granska dem för att bestämma deras hälsa. Maskiner kan utföra kontroller i millisekunder där människor kan ta timmar för att nå liknande slutsatser. Denna verklighet är relaterad till behovet av en robotanalys av delar som monteras på en höghastighets elektronik tillverkningslinje - mänskliga undersökningar kan aldrig hålla takten och är benägna att fel.

Frågan är inte, kan vi utveckla säker programvara? Visst kan vi. Ansökningsekonomin kan växa och blomstra i reglerade, säkra miljöer, om det hanteras ordentligt. Å andra sidan, om företag beslutar att ignorera korrekt cybersäkerhetshygien, tänk på att de väljer innovation, det kan vara mer än bara deras död, kommer de att vara ansvariga för.

Derek Weeks, Vice President på Sonatype

  • Vi har också markerat de bästa internetsäkerhetssviterna