Репортаж от Wedoany,Компании Deloitte, IBM и Red Hat объявили о сотрудничестве, в рамках которого услуги Deloitte в области кибербезопасности будут объединены с моделью исправлений Lightwell, поддерживаемой IBM и Red Hat. Эта модель предоставляет исправления для компонентов с открытым исходным кодом, работающих в производственных средах предприятий, без необходимости обновления версий, чтобы противостоять рискам для цепочки поставок программного обеспечения, вызванным ускорением автоматизированных атак.
Автоматизированные атаки значительно сокращают временной промежуток между раскрытием уязвимости и ее использованием, в то время как прямое обновление программного обеспечения предприятиями может нарушить ключевые бизнес-процессы, такие как расчет заработной платы, транзакции и производство. Lightwell отделяет исправления безопасности от стандартных циклов обновления, применяя обратный перенос и верификацию патчей, сосредотачиваясь на фиксированных версиях уже развернутых компонентов с открытым исходным кодом.
Сотрудничество направлено на объединение возможностей Deloitte в области закупочных каналов, отчетности по рискам и проектирования управления с технологиями автоматизированной верификации IBM и Red Hat, формируя индустриализированный процесс от обнаружения уязвимостей до производственного исправления. Этот процесс включает непрерывное картирование кода, приоритизацию на основе поверхности воздействия и бизнес-важности, а также предоставление отслеживаемых доказательств для советов директоров и регулирующих органов.
На коммерческом уровне Deloitte получает технологическую точку входа в бюджеты корпоративной кибербезопасности, IBM и Red Hat открывают доступ к каналам корпоративных клиентов, а риски открытого исходного кода превращаются из инженерной проблемы в вопрос управления. Lightwell сотрудничает с мейнтейнерами открытого исходного кода, применяя исправления к версиям, используемым клиентами, однако этот процесс включает сложные отношения с сообществом.
Практическая реализация все еще имеет ограничения. Обратный перенос патчей на старые версии является трудоемкой работой, которую даже с помощью автоматизации сложно полностью упростить. Корпоративные среды уникальны, и среда верификации может отличаться от фактической рабочей среды. Покупателям необходимо учитывать экосистему, охватываемую моделью, скорость исправления в реальных условиях, а также ответственность в случае сбоев, вызванных патчами. Если предприятия будут бессрочно использовать обратный перенос для сохранения устаревших компонентов, это может усугубить технический долг.
Данное сотрудничество переводит корпоративные расходы на безопасность с обнаружения уязвимостей на операционное исправление, особенно для производственных систем, где обновление сопряжено с высоким риском или затруднено из-за бизнес-зависимостей. Верифицированный обратный перенос может снизить необходимость в срочных обновлениях, сохраняя при этом стабильность и непрерывность сертификации. Инвестиции Deloitte в закупочные каналы, отчетность по рискам, проектирование управления и инженерные возможности развертывания превращают техническое исправление в услугу по управлению корпоративной кибербезопасностью. Советы директоров и аудиторские органы ожидают получения отслеживаемых доказательств управления экспозицией программного обеспечения, включая затронутые компоненты, меры по исправлению, аномалии и остаточные риски. Deloitte, IBM и Red Hat не утверждают, что могут устранить уязвимое программное обеспечение, а выступают за то, что уровень исправлений может стать более скоординированным, автоматизированным и защищенным. Если следующая уязвимость нулевого дня появится в пятницу днем, сможет ли инженерная способность справиться с этим, останется ключевым практическим тестом.
Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com
