Водещи технологични компании, сред които Cisco, Microsoft, Dell, IBM, Oracle и Red Hat, публикуваха проект на нов стандарт – OpenEoX – насочен към уеднаквяване на начина, по който се обявява прекратяването на поддръжката и сигурността на софтуер и хардуер. Стандартът е представен чрез OASIS – международна организация за разработване на отворени стандарти.
В момента организациите масово се затрудняват да следят кои системи все още получават критични обновления, тъй като уведомленията за т.нар. End-of-Life (EoL) са разпръснати, с нееднакъв формат и често с неясен език. Това създава сериозни рискове за киберсигурността, особено когато остарелите системи са дълбоко вградени в сложни вериги за доставка на софтуер или в индустриална инфраструктура.
Проектът OpenEoX, описан в 29-страничен документ, предлага унифициран, машинно четим формат, чрез който производителите ясно да информират кога техните продукти ще достигнат четири ключови момента от жизнения си цикъл:
General Availability (GA) – датата на първото пускане на продукта;
End of Sales (EoS) – последният ден за покупка;
End of Security Support (EoSS) – последната дата, на която се предоставят обновления по сигурността;
End of Life (EoL) – крайна дата на всякаква форма на поддръжка.
Целта е тази информация да може да бъде автоматично интегрирана в SBOMs (Software Bill of Materials), съвети по сигурността и инструменти за управление на риска.
„Да знаеш кога приключва поддръжката на един продукт не трябва да е игра на познаване„, коментира Омар Сантос – съпредседател на OpenEoX и софтуерен инженер в Cisco. Инициативата има за цел да намали административната тежест за доставчиците и да улесни автоматичното проследяване на риска от страна на клиенти, регулатори и одитори по веригата на доставки.
Проектът OpenEoX е в начален етап, но амбицията му е да се превърне в глобален технически стандарт. Инициативата е отворена за участие от страна на всички заинтересовани страни – както търговски компании, така и изследователи и държавни органи – чрез членство в OASIS.
Интересно е, че въпреки фокуса върху софтуера и хардуера, авторите отбелязват, че моделът може да бъде приложим и за AI модели, които също следват жизнен цикъл с критични точки по поддръжка и сигурност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
