കോഡ്നോട്ടറി SBOM തിരയൽ ഉപകരണത്തിലേക്ക് മെഷീൻ ലേണിംഗ് അൽഗോരിതം ചേർക്കുന്നു
മെറ്റീരിയൽസിന്റെ സോഫ്റ്റ്വെയർ ബില്ലുകൾ (എസ്ബിഒഎം) സൃഷ്ടിക്കുന്നതിനും മാനേജുചെയ്യുന്നതിനുമുള്ള ട്രസ്റ്റ് സെന്റർ പ്ലാറ്റ്ഫോമിനായി ഇത് നൽകുന്ന സെർച്ച് എഞ്ചിനിലേക്ക് കോഡ്നോട്ടറി ഈ ആഴ്ച മെഷീൻ ലേണിംഗ് അൽഗോരിതം ചേർത്തു.
വൾനറബിലിറ്റി എക്സ്പ്ലോയിറ്റബിലിറ്റി ഇഎക്സ്ചേഞ്ച് (VEX) ഫോർമാറ്റുമായി പൊരുത്തപ്പെടുന്ന, ഒരു ആപ്ലിക്കേഷൻ പരിതസ്ഥിതിയിൽ ഏത് സോഫ്റ്റ്വെയർ ഘടകങ്ങൾ പ്രവർത്തിക്കുന്നുവെന്ന് നിർണ്ണയിക്കാൻ ശ്രമിക്കുമ്പോൾ മെഷീൻ ലേണിംഗ് അൽഗോരിതങ്ങൾ കൂടുതൽ കൃത്യമായ ഫലങ്ങൾ നൽകുന്നു.
കോഡ്നോട്ടറി സിഇഒ മോഷെ ബാർ പറഞ്ഞു, കാരണം ആ കഴിവിന്റെ അഭാവത്തിൽ, ഐടി, സൈബർ സുരക്ഷാ ടീമുകൾ അവർ വിന്യസിച്ച ആപ്ലിക്കേഷൻ ബൈനറികളിൽ നിലനിൽക്കുന്ന ദുർബലമായ സോഫ്റ്റ്വെയർ ഘടകത്തിന്റെ എല്ലാ സംഭവങ്ങളും കണ്ടെത്താൻ കഴിഞ്ഞേക്കില്ല.
വാസ്തവത്തിൽ, ഇന്ന് ലഭ്യമായ ഓരോ എസ്ബിഒഎം ഉപകരണവും വ്യത്യസ്ത ഫലങ്ങൾ സൃഷ്ടിക്കും, അതിനാൽ ഏറ്റവും സ്ഥിരമായ ഫലങ്ങൾ നൽകുന്ന ഒരു ഉപകരണത്തിൽ ഐടി ടീമുകൾ സ്റ്റാൻഡേർഡൈസ് ചെയ്യേണ്ടത് നിർണായകമാണ്, അദ്ദേഹം കൂട്ടിച്ചേർത്തു.
യുഎസ് വാണിജ്യ വകുപ്പിന്റെ ഒരു വിഭാഗമായ നാഷണൽ ടെലികമ്മ്യൂണിക്കേഷൻസ് ആൻഡ് ഇൻഫർമേഷൻ അഡ്മിനിസ്ട്രേഷന്റെ (എൻടിഐഎ) നേതൃത്വത്തിലുള്ള സോഫ്റ്റ്വെയർ ഘടക സുതാര്യതയ്ക്കുള്ള ഒരു മൾട്ടിസ്റ്റേക്ക് ഹോൾഡർ പ്രക്രിയയ്ക്കായി വെക്സ് ഫോർമാറ്റ് സൃഷ്ടിച്ചു. യന്ത്രങ്ങൾക്ക് വായിക്കാൻ കഴിയുന്ന ഫോർമാറ്റിൽ ദുർബലതകൾ റിപ്പോർട്ട് ചെയ്യുന്നതിനുള്ള ഒരു സ്പെസിഫിക്കേഷനും ഉപകരണങ്ങളായ ഓപ്പൺവെക്സ് സൃഷ്ടിക്കാൻ എൻടിഐഎയും സൈബർ സെക്യൂരിറ്റി ആൻഡ് ഇൻഫ്രാസ്ട്രക്ചർ സെക്യൂരിറ്റി ഏജൻസിയും (സിഐഎസ്എ) പിന്നീട് എൻടിഐഎ, ചെയിൻഗാർഡ് എന്നിവയുമായി പ്രവർത്തിച്ചു.
ഒരു ആപ്ലിക്കേഷനിൽ എവിടെയാണ് ദുർബലതകൾ സ്ഥിതിചെയ്യുന്നതെന്ന് നിർണ്ണയിക്കുന്നത് എളുപ്പമാക്കുന്നതിന് ഫെഡറൽ ഏജൻസികൾക്ക് എസ്ബിഒഎമ്മുകളിലേക്ക് പ്രവേശനം വേണമെന്ന് ആവശ്യപ്പെടുന്ന എക്സിക്യൂട്ടീവ് ഉത്തരവിന്റെ പശ്ചാത്തലത്തിൽ, പല എന്റർപ്രൈസ് ഐടി ഓർഗനൈസേഷനുകളും അവരുടെ സോഫ്റ്റ്വെയർ വിതരണ ശൃംഖലകളെ മികച്ച രീതിയിൽ സംരക്ഷിക്കാൻ സഹായിക്കുന്നതിന് സമാനമായി എസ്ബിഒഎമ്മുകൾ സ്വീകരിച്ചിട്ടുണ്ട്. ഒരു ആപ്ലിക്കേഷൻ പരിഹാര ശ്രമത്തിന്റെ പശ്ചാത്തലത്തിൽ എസ്ബിഒഎമ്മുകൾ എങ്ങനെ മികച്ച രീതിയിൽ പ്രവർത്തനക്ഷമമാക്കാം എന്നതാണ് അവരിൽ പലരും ഇപ്പോൾ അഭിമുഖീകരിക്കുന്ന വെല്ലുവിളി.
ആപ്ലിക്കേഷനുകൾ തുടർച്ചയായി അപ്ഡേറ്റ് ചെയ്യുന്നതിനാൽ ഏത് സമയത്തും എസ്ബിഒഎമ്മുകൾ എത്രത്തോളം കൃത്യമാണെന്ന് അവരിൽ പലർക്കും ഉറപ്പില്ല, ബാർ അഭിപ്രായപ്പെട്ടു, ഒരു ആപ്ലിക്കേഷൻ പ്രതിനിധീകരിക്കുന്ന അപകടസാധ്യതകളുടെ തീവ്രത വിലയിരുത്തുന്നതിനുള്ള സ്കോറുകൾ ഉൾപ്പെടുന്ന കോഡ് ഒപ്പിടൽ, ഉറവിട പരിശോധനകൾ, അറ്റസ്റ്റേഷൻ, എസ്ബിഒഎം മാനേജ്മെന്റ് എന്നിവ ട്രസ്റ്റ് സെന്റർ നൽകുന്നു.
പൊതുവെ, മികച്ച DevSecOps വർക്ക്ഫ്ലോകളുടെ വലിയ ആലിംഗനത്തിന്റെ ഭാഗമായി ഓർഗനൈസേഷനുകൾ അവരുടെ സോഫ്റ്റ്വെയർ വിതരണ ശൃംഖലകൾ ശക്തിപ്പെടുത്തുന്നതിൽ എത്രത്തോളം അകലെയാണെന്ന് വ്യക്തമല്ല, പക്ഷേ ഡെവലപ്പർമാർ കോഡ് വേഗത്തിൽ എഴുതാൻ ജനറേറ്റീവ് ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് (എഐ) ഉപകരണങ്ങൾ സ്വീകരിക്കുമ്പോൾ, ആപ്ലിക്കേഷനുകൾ നിർമ്മിക്കുന്ന വേഗത ഗണ്യമായി വർദ്ധിച്ചു. നിർഭാഗ്യവശാൽ, അവരിൽ പലരും ഇന്റർനെറ്റിൽ ഉടനീളം ശേഖരിച്ച കോഡിന്റെ സാമ്പിളുകൾ ഉപയോഗിച്ച് പരിശീലിപ്പിച്ച വലിയ ഭാഷാ മോഡലുകളെ (എൽഎൽഎം) അടിസ്ഥാനമാക്കിയുള്ള പൊതു-ഉദ്ദേശ്യ പ്ലാറ്റ്ഫോമുകൾ ഉപയോഗിക്കുന്നു. ആ സാമ്പിളുകളിൽ പലതും ഒരു ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് മോഡൽ സൃഷ്ടിച്ച കോഡിലേക്ക് വഴി കണ്ടെത്താൻ കഴിയുന്ന ദുർബലതകൾ അടങ്ങിയിരുന്നു.
മിക്ക ഡവലപ്പർമാർക്കും ആ ദുർബലതകൾ തിരിച്ചറിയാനുള്ള വൈദഗ്ദ്ധ്യം ഇല്ല, അതിനാൽ ഓർഗനൈസേഷനുകൾക്ക് അവരുടെ കോഡ്ബേസിലുടനീളം ഗുണിച്ചേക്കാവുന്ന ദുർബലതകൾ തിരിച്ചറിയാൻ കഴിവുള്ള ഉപകരണങ്ങൾ ആവശ്യമാണ്. എന്നിരുന്നാലും, സൈബർ സുരക്ഷാ വൈദഗ്ധ്യം ഇല്ലാത്ത ഡവലപ്പർമാർ ജനറേറ്റീവ് ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ് കാരണം കുറച്ച് ദുർബലതകൾ സൃഷ്ടിക്കുന്ന നിരവധി ഉദാഹരണങ്ങളുണ്ടാകാം.
കോഡിന്റെ ഇടുങ്ങിയ അടിസ്ഥാനത്തിൽ പരിശീലനം നേടിയ എൽഎൽഎമ്മുകൾ ഉടൻ തന്നെ കൂടുതൽ വിശ്വസനീയമായ കോഡ് സൃഷ്ടിക്കുമെന്ന് പ്രതീക്ഷിക്കുന്നു. എന്നിരുന്നാലും, ഇതിനിടയിൽ, അവർ ഏറ്റെടുക്കാൻ തയ്യാറുള്ള ആപ്ലിക്കേഷൻ റിസ്കിന്റെ നില നിർണ്ണയിക്കാൻ ഓർഗനൈസേഷനുകളെ പ്രാപ്തമാക്കുന്നതിൽ എസ്ബിഒഎമ്മുകൾ നിർണായക പങ്ക് വഹിക്കും.
Experienced Researcher with a demonstrated history of working in the Deep Learning, Computer Vision
