Branschsammanfattning: Öppen källkod Security Summit 2024
- Blog
- Branschsammanfattning: Öppen källkod Security Summit 2024
Läs mer om det årliga säkerhetsmötet med öppen källkod.
Det årliga Open Source Security Summit samlade globala deltagare för femte gången med djupdykning i hur verktyg med öppen källkod odlar säkerhet och förtroende genom transparens och samarbete. Höjdpunkter från september 2024 inkluderade en djupdykning i rollen och utvecklingen av AI med experten Daniel Miessler, en panel om säkerhetsresiliens ledd av CNET, och en diskussion om vikten av att utveckla en engagerad gemenskap för lösningar med öppen källkod.
För att utforska tidigare toppmöten finns många sessionsinspelningar för 2023, 2022, 2021 och 2020 tillgängliga på opensourcesecuritysummit.com eller på Bitwardens YouTube-kanal.
Daniel Miessler, AI-expert och grundare av Unsupervised Learning, visade hur man litar på resultatet från AI-system: "Varför litar vi inte på dem? Jag tror att det beror på kvaliteten på resultaten och bristen på synlighet i processen.” Enligt Miessler förbättras kvaliteten snabbt, men "transparensfrågan är faktiskt mycket större. Problemet är att AI är en svart låda.”
"Sättet som AI börjar påverka verksamheten framöver är att det kommer att börja ersätta funktionen hos en människa som utför olika intelligensuppgifter som att analysera en mullvad eller skriva en rapport. Så småningom kommer det att ersätta hela pipelinen.”
Att förstå hur något fungerar leder till tillit. Han påpekar dock att människor är mer av en svart låda än vi bryr oss om att erkänna, och många människor tror att människor är mer pålitliga än de faktiskt är. Miessler går igenom ett exempel på att skicka kod till tre olika system, Snyk Open Source, Llama AI och Code Review, tillsammans med en säkerhetspolicytext som körs mot koden. Den fjärde delen av hans ekvation är AI-utvärderaren, som tittar på resultaten från de tidigare utvärderingarna och ger en bild för hela processen.
"Vissa saker är viktigare än andra, så vi kommer att behöva fler valideringssteg för vissa saker jämfört med andra, inklusive en människa i slingan för det sista stycket. Så, om jag har rätt, så kommer vi att lita på AI och dess resultat genom att låta AI köra flera olika typer av tester och sedan förklara varje test för oss, metodiken som användes för testet och varför den anser att vi faktiskt borde lita på resultatet.”
Bree Fowler, senior skribent på CNET, ledde en paneldiskussion mellan Schlomo Schapiro, chefsingenjör på Tektit Consulting, och Bjoern Sjut, VD för produktivitet och IT på Front Row. Panelen undersökte de aktuella trenderna och utmaningarna med säkerhetstålighet och medarbetarnas adoption. Anställda hatar friktion, så om vi vill att vår säkerhet ska vara effektiv måste den göra det möjligt för användaren att faktiskt göra sitt jobb. I det ögonblick som säkerheten kommer i vägen kommer användarna att hitta ett annat sätt att göra sitt jobb på” (Schapiro). Det är därför det är viktigt för IT-avdelningen att vara lättillgänglig och se till att minsta motståndets väg inte kringgår säkerheten: ”Det handlar verkligen om samarbete och att hitta rätt balans mellan produktivitet och säkerhet” (Sjut).
Paneldeltagarna varnade för att många organisationer underskattar hotet från deras SaaS-teknikstack, och pekar på en trend av blindt förtroende för SaaS-system och leverantörer och hur den bristen på kontroll kan leda till säkerhetsluckor: "En av de värsta sakerna att ha är konton i applikationer som du inte vet om som förblir aktiva när människor lämnar, där de aldrig roterar lösenord, där de aldrig roterar lösenord. aktiverat. Det är så man ger upp kontrollen” (Schapiro).
Panelen uppmanade branschen att driva på för ett skifte i perspektiv när det gäller att behandla säkerhet som en företagsfunktion snarare än en väsentlig funktionalitet för alla användare. Utöver den snabba tekniska utvecklingen de senaste åren har den ökade rörligheten för arbetskraften introducerat nya skikt av komplexitet i hanteringen av skugg-IT.
"När vi vill göra dem produktiva betyder det att vi måste hantera en mycket, mycket större enhetsgraf än vi gjorde för fem eller sex år sedan. Om vi inte vill beväpna alla med dedikerade enheter, så har vi alltid en BYOD-miljö, åtminstone med mobila enheter, och i kombination med molnverktyg betyder det att vi har nya attackvektorer på enheter och applikationer som är annorlunda att hantera än tidigare.” ~ Björn Sjut, främre raden
I ett försök att möjliggöra för arbetskraften bortom bara IT-avdelningen, söker Sjut upp dem som är entusiastiska över ett specifikt verktyg, de som tycker om att läsa manualer eller titta på tutorials, och använder dem sedan som evangelister. På detta sätt kan IT stödja användare snarare än att diktera för dem vilka verktyg de ska använda för deras arbete: "Vi behöver personer i de faktiska affärsdivisionerna för att ha den tekniska förståelsen och kunna driva tillämpningen av applikationer."
Cédric Demers, president at RTINGS.com, shared how engaged communities are essential for maximizing the benefits of open source transparency. He walked through his team's process to create a trustworthy system and explained why they landed on transparency as a core value. “Community engagement increases agility;” an engaged community can identify challenges and propose solutions more quickly than a closed system. He notes, “Open source doesn’t create community engagement by itself.” It must be cultivated, “you need to nurture that community to create these benefits.” In order for a community to grow and stand by a project or company, they must believe in your mission. When identifying which tools to incorporate into your tech stack, “look for an active community when evaluating open source solutions.”
Get started protecting your business and yourself online today! Sign up with a free individual account or start a business trial.
Stay informed about other events and security resources by connecting with the Bitwarden community!
See you at the next Open Source Security Summit!