في أغسطس 2022 ، أصدرت مجموعة إستراتيجية المؤسسة (ESG) "السير على الخط: GitOps و Shift Left Security، "تقرير بحثي لأمان مطور متعدد العملاء يفحص الحالة الحالية لأمان التطبيق. تتمثل النتيجة الرئيسية للتقرير في انتشار مخاطر سلسلة توريد البرامج في التطبيقات السحابية الأصلية. ردد جيسون شميت ، المدير العام لمجموعة Synopsys Software Integrity Group ، ذلك قائلاً: "نظرًا لأن المؤسسات تشهد مستوى التأثير المحتمل الذي يمكن أن تحدثه ثغرة أمنية أو خرق لسلسلة توريد البرامج على أعمالها من خلال العناوين البارزة ، فإن إعطاء الأولوية استراتيجية أمنية استباقية هي الآن ضرورة عمل تأسيسية ".
يوضح التقرير أن المنظمات تدرك أن سلسلة التوريد أكثر من مجرد تبعيات. أدوات التطوير / خطوط الأنابيب و repos و APIs والبنية التحتية كرمز (IaC) والحاويات والتكوينات السحابية والمزيد.
على الرغم من أن البرامج مفتوحة المصدر قد تكون مصدر القلق الأصلي لسلسلة التوريد ، إلا أن التحول نحو تطوير التطبيقات السحابية الأصلية يثير قلق المنظمات بشأن المخاطر التي تتعرض لها العقد الإضافية لسلسلة التوريد الخاصة بهم. في الواقع ، أفادت 73٪ من المؤسسات أنها "زادت بشكل كبير" من جهودها الأمنية لسلسلة توريد البرامج استجابةً لهجمات سلسلة التوريد الأخيرة.
أشار المشاركون في استطلاع التقرير إلى اعتماد شكل من أشكال تقنية المصادقة متعددة العوامل القوية (33٪) ، والاستثمار في ضوابط اختبار أمان التطبيقات (32٪) ، وتحسين اكتشاف الأصول لتحديث مخزون سطح الهجوم لمؤسستهم (30٪) كأمان رئيسي المبادرات التي يتابعونها ردًا على هجمات سلسلة التوريد.
ذكر 42 بالمائة من المشاركين أن واجهات برمجة التطبيقات هي المنطقة الأكثر عرضة للهجوم في مؤسستهم اليوم. واعتبرت مستودعات تخزين البيانات الأكثر عرضة للخطر بنسبة 34٪ ، وتم تحديد صور حاوية التطبيق على أنها الأكثر عرضة للإصابة بنسبة XNUMX٪.
يُظهر التقرير أن الافتقار إلى إدارة المصادر المفتوحة يهدد تجميع SBOM.
وجد الاستطلاع أن 99٪ من المؤسسات إما تستخدم برامج مفتوحة المصدر أو تخطط لاستخدامها في غضون الاثني عشر شهرًا القادمة. في حين أن المجيبين لديهم العديد من المخاوف فيما يتعلق بصيانة وأمن وموثوقية هذه المشاريع مفتوحة المصدر ، فإن اهتمامهم الأكثر ذكرًا يتعلق بالحجم الذي يتم فيه الاستفادة من المصدر المفتوح في تطوير التطبيقات. يعتقد واحد وتسعون بالمائة من المؤسسات التي تستخدم المصدر المفتوح أن كود مؤسستهم - أو سيكون - مكونًا من 12٪ من البرامج مفتوحة المصدر. ذكر 75 بالمائة من المستجيبين أن "وجود نسبة عالية من كود التطبيق مفتوح المصدر" يمثل مصدر قلق أو تحدي مع البرامج مفتوحة المصدر.
وبالمثل ، وجدت دراسات سينوبسيس وجود علاقة بين حجم استخدام البرمجيات مفتوحة المصدر (OSS) ووجود المخاطر ذات الصلة. مع زيادة حجم استخدام OSS ، سيزداد وجودها في التطبيقات بشكل طبيعي أيضًا. لقد أدى الضغط لتحسين إدارة مخاطر سلسلة إمداد البرامج إلى تسليط الضوء على ذلك فاتورة البرمجيات تجميع المواد (SBOM). ولكن مع انفجار استخدام برمجيات المصدر المفتوح وإدارة باهتة ، أصبح تجميع SBOM مهمة معقدة - وتم تصنيف 39٪ من المشاركين في الاستطلاع في دراسة ESG على أنه تحدٍ لاستخدام برمجيات المصدر المفتوح.
تعتبر إدارة مخاطر برمجيات المصدر المفتوح أولوية ، لكن المنظمات تفتقر إلى تحديد واضح للمسؤوليات.
يشير الاستطلاع إلى حقيقة أنه في حين أن التركيز على تصحيح المصدر المفتوح بعد الأحداث الأخيرة (مثل ثغرات Log4Shell و Spring4Shell) أدى إلى زيادة كبيرة في أنشطة التخفيف من مخاطر OSS (73٪ التي ذكرناها أعلاه) ، فإن الطرف المسؤول عن لا تزال جهود التخفيف هذه غير واضحة.
أغلبية واضحة من فرق DevOps عرض إدارة OSS كجزء من دور المطور ، بينما ينظر إليها معظم فرق تكنولوجيا المعلومات على أنها مسؤولية فريق أمني. قد يفسر هذا سبب كفاح المنظمات طويلاً لإصلاح برمجيات المصدر المفتوح بشكل صحيح. وجد الاستطلاع أن فرق تكنولوجيا المعلومات مهتمة أكثر من فرق الأمن (48٪ مقابل 34٪) بمصدر كود OSS ، وهو انعكاس للدور الذي تلعبه تكنولوجيا المعلومات في الحفاظ بشكل صحيح على تصحيحات ثغرات OSS. مما يزيد الطين بلّة ، يرى المستطلعون في مجال تكنولوجيا المعلومات و DevOps (بنسبة 49٪ و 40٪) تحديد نقاط الضعف قبل النشر على أنها مسؤولية الفريق الأمني.
تمكين المطور آخذ في الازدياد ، لكن الافتقار إلى الخبرة الأمنية يمثل مشكلة.
كان "التحول إلى اليسار" محركًا رئيسيًا لدفع المسؤوليات الأمنية إلى المطور. هذا التحول لم يخلو من التحديات. على الرغم من أن 68٪ من المستجيبين اعتبروا تمكين المطور أولوية قصوى في مؤسستهم ، إلا أن 34٪ فقط من المشاركين في مجال الأمن شعروا بالثقة في تحمل فرق التطوير مسؤولية اختبار الأمان.
يبدو أن المخاوف مثل إثقال كاهل فرق التطوير بأدوات ومسؤوليات إضافية ، وتعطيل الابتكار والسرعة ، والحصول على الإشراف على الجهود الأمنية ، هي أكبر العقبات التي تعترض جهود AppSec التي يقودها المطور. غالبية المشاركين في مجال الأمان و AppDev / DevOps (بنسبة 65٪ و 60٪) لديهم سياسات مطبقة تسمح للمطورين باختبار التعليمات البرمجية الخاصة بهم وإصلاحها دون التفاعل مع فرق الأمان ، وقال 63٪ من المستجيبين لتكنولوجيا المعلومات إن مؤسساتهم لديها سياسات تتطلب من المطورين إشراك فرق أمنية.
عن المؤلف
مايك ماكغواير هو مدير أول للحلول في سينوبسيس حيث يركز على المصدر المفتوح وإدارة مخاطر سلسلة التوريد. بعد أن بدأ مسيرته المهنية كمهندس برمجيات ، انتقل مايك إلى أدوار استراتيجية المنتج والسوق ، حيث يستمتع بالتواصل مع المشترين والمستخدمين للمنتجات التي يعمل عليها. بالاستفادة من سنوات الخبرة العديدة في صناعة البرمجيات ، فإن الهدف الرئيسي لمايك هو ربط مشكلات AppSec المعقدة في السوق مع حلول Synopsys لبناء برمجيات آمنة.
