I august 2022 udgav Enterprise Strategy Group (ESG) "Walking the Line: GitOps og Shift Left Security," en multiklient-udviklersikkerhedsforskningsrapport, der undersøger den aktuelle tilstand af applikationssikkerhed. Rapportens vigtigste konklusion er udbredelsen af softwareforsyningskæderisici i cloud-native applikationer. Jason Schmitt, general manager for Synopsys Software Integrity Group, gentog dette og udtalte: "Da organisationer er vidne til niveauet af potentielle indvirkninger, som en sikkerhedssårbarhed eller brud på softwareforsyningskæden kan have på deres virksomhed gennem højprofilerede overskrifter, prioriterer en proaktiv sikkerhedsstrategi er nu et grundlæggende forretningskrav."
Rapporten viser, at organisationer indser, at forsyningskæden er mere end blot afhængigheder. Det er udviklingsværktøjer/pipelines, repos, API'er, infrastruktur-som-kode (IaC), containere, cloud-konfigurationer og mere.
Selvom open source-software kan være den oprindelige forsyningskæde bekymring, skiftet mod cloud-native applikationsudvikling har organisationer bekymret over de risici, der er forbundet med yderligere knudepunkter i deres forsyningskæde. Faktisk rapporterede 73 % af organisationerne, at de har "betydeligt øget" deres sikkerhedsindsats i softwareforsyningskæden som svar på de seneste angreb i forsyningskæden.
Respondenter til rapportens undersøgelse nævnte vedtagelsen af en form for stærk multifaktorautentificeringsteknologi (33 %), investering i applikationssikkerhedstestkontroller (32 %) og forbedret aktivopdagelse for at opdatere deres organisations angrebsoverfladebeholdning (30 %) som nøglesikkerhed initiativer, de forfølger som reaktion på forsyningskædeangreb.
42 procent af de adspurgte nævnte API'er som det område, der er mest modtagelige for angreb i deres organisation i dag. Datalagringslagre blev betragtet som mest udsatte med 34 %, og applikationsbeholderbilleder blev identificeret som mest modtagelige med XNUMX %.
Rapporten viser, at mangel på open source-styring truer SBOM-kompilering.
Undersøgelsen viste, at 99 % af organisationerne enten bruger eller planlægger at bruge open source-software inden for de næste 12 måneder. Mens respondenterne har mange bekymringer med hensyn til vedligeholdelsen, sikkerheden og troværdigheden af disse open source-projekter, relaterer deres mest citerede bekymring til omfanget, hvorpå open source bliver udnyttet inden for applikationsudvikling. Enoghalvfems procent af organisationer, der bruger open source, mener, at deres organisations kode er - eller vil blive - sammensat af op til 75% open source. XNUMX procent af de adspurgte nævnte "at have en høj procentdel af applikationskode, der er open source" som bekymring eller udfordring med open source-software.
Synopsys-undersøgelser har ligeledes fundet en sammenhæng mellem omfanget af brug af open source software (OSS) og tilstedeværelsen af relateret risiko. Efterhånden som omfanget af OSS-brug stiger, vil dets tilstedeværelse i applikationer naturligvis også stige. Presset for at forbedre risikostyringen i softwareforsyningskæden har sat fokus på softwareregning kompilering af materialer (SBOM). Men med eksploderende OSS-brug og mangelfuld OSS-styring bliver SBOM-kompilering en kompleks opgave - og 39 % af undersøgelsens respondenter i ESG-undersøgelsen markerede som en udfordring ved at bruge OSS.
OSS-risikostyring er en prioritet, men organisationer mangler en klar afgrænsning af ansvar.
Undersøgelsen peger mod den virkelighed, at mens fokus på open source-patching efter nylige begivenheder (såsom Log4Shell og Spring4Shell sårbarhederne) har resulteret i en betydelig stigning i OSS-risikoreduktionsaktiviteter (de 73 %, vi nævnte ovenfor), er den ansvarlige part for disse afbødningsbestræbelser er stadig uklare.
Et klart flertal af DevOps-hold se OSS-ledelse som en del af udviklerrollen, hvorimod de fleste it-teams ser det som et sikkerhedsteamansvar. Dette kan meget vel forklare, hvorfor organisationer længe har kæmpet for at rette OSS ordentligt. Undersøgelsen viste, at it-teams er mere bekymrede end sikkerhedsteams (48 % vs. 34 %) over kilden til OSS-koden, hvilket er en afspejling af den rolle, IT har i korrekt vedligeholdelse af OSS-sårbarhedsrettelser. IT- og DevOps-respondenter (ved 49 % og 40 %), der gør vandet endnu mere mudret, betragter identifikationen af sårbarheder før implementering som sikkerhedsteamets ansvar.
Udvikleraktivering vokser, men mangel på sikkerhedsekspertise er problematisk.
"Skift til venstre" har været en vigtig drivkraft for at skubbe sikkerhedsansvar til udvikleren. Dette skifte har ikke været uden udfordringer; Selvom 68 % af respondenterne nævnte udvikleraktivering som en høj prioritet i deres organisation, følte kun 34 % af sikkerhedsrespondenterne sig faktisk sikre på, at udviklingsteams påtog sig ansvaret for sikkerhedstestning.
Bekymringer som at overbelaste udviklingsteams med yderligere værktøj og ansvar, forstyrre innovation og hastighed og få overblik over sikkerhedsindsatsen ser ud til at være de største hindringer for udviklerledede AppSec-bestræbelser. Et flertal af sikkerheds- og AppDev/DevOps-respondenterne (med 65 % og 60 %) har politikker på plads, der tillader udviklere at teste og rette deres kode uden interaktion med sikkerhedsteams, og 63 % af it-respondenterne sagde, at deres organisation har politikker, der kræver, at udviklere involverer sig sikkerhedshold.
Om forfatteren
Mike McGuire er senior løsningschef hos Synopsys, hvor han er fokuseret på open source og softwareforsyningskæderisikostyring. Efter at have startet sin karriere som softwareingeniør, skiftede Mike til produkt- og markedsstrategiroller, da han nyder at have kontakt med købere og brugere af de produkter, han arbejder på. Ved at udnytte flere års erfaring i softwareindustrien er Mikes hovedmål at forbinde markedets komplekse AppSec-problemer med Synopsys' løsninger til at bygge sikker software.
