Im August 2022 veröffentlichte die Enterprise Strategy Group (ESG) „Walking the Line: GitOps und Shift Left Security“, ein Sicherheitsforschungsbericht für Multiclient-Entwickler, der den aktuellen Stand der Anwendungssicherheit untersucht. Das wichtigste Ergebnis des Berichts ist die Prävalenz von Software-Supply-Chain-Risiken in Cloud-nativen Anwendungen. Jason Schmitt, General Manager der Synopsys Software Integrity Group, wiederholte dies und erklärte: „Während Organisationen durch hochkarätige Schlagzeilen das Ausmaß der potenziellen Auswirkungen beobachten, die eine Sicherheitslücke oder -verletzung in der Softwarelieferkette auf ihr Geschäft haben kann, ist die Priorisierung von Eine proaktive Sicherheitsstrategie ist jetzt eine grundlegende Geschäftsvoraussetzung.“
Der Bericht zeigt, dass Unternehmen erkennen, dass die Lieferkette mehr ist als nur Abhängigkeiten. Es sind Entwicklungstools/Pipelines, Repos, APIs, Infrastructure-as-Code (IaC), Container, Cloud-Konfigurationen und mehr.
Obwohl Open-Source-Software das ursprüngliche Problem der Lieferkette sein mag, macht die Verlagerung hin zur Cloud-nativen Anwendungsentwicklung Unternehmen besorgt über die Risiken, die für zusätzliche Knoten ihrer Lieferkette bestehen. Tatsächlich gaben 73 % der Unternehmen an, dass sie ihre Sicherheitsbemühungen für die Softwarelieferkette als Reaktion auf die jüngsten Angriffe auf die Lieferkette „erheblich verstärkt“ haben.
Die Befragten der Umfrage des Berichts nannten die Einführung einer Form starker Multifaktor-Authentifizierungstechnologie (33 %), Investitionen in Kontrollen für Anwendungssicherheitstests (32 %) und eine verbesserte Asset-Erkennung zur Aktualisierung des Angriffsflächeninventars ihrer Organisation (30 %) als Schlüsselsicherheit Initiativen, die sie als Reaktion auf Angriffe auf die Lieferkette verfolgen.
42 Prozent der Befragten nannten APIs als den Bereich, der heute in ihrem Unternehmen am anfälligsten für Angriffe ist. Datenspeicherungs-Repositories wurden von 34 % als am stärksten gefährdet eingestuft, und Container-Images von Anwendungen wurden von XNUMX % als am anfälligsten identifiziert.
Der Bericht zeigt, dass ein Mangel an Open-Source-Management die SBOM-Kompilierung gefährdet.
Die Umfrage ergab, dass 99 % der Unternehmen Open-Source-Software entweder verwenden oder planen, innerhalb der nächsten 12 Monate zu verwenden. Während die Befragten viele Bedenken hinsichtlich der Wartung, Sicherheit und Vertrauenswürdigkeit dieser Open-Source-Projekte haben, bezieht sich ihre am häufigsten genannte Sorge auf das Ausmaß, in dem Open Source in der Anwendungsentwicklung genutzt wird. Einundneunzig Prozent der Organisationen, die Open Source verwenden, glauben, dass der Code ihrer Organisation zu 75 % aus Open Source besteht oder bestehen wird. XNUMX % der Befragten nannten „einen hohen Anteil an Open-Source-Anwendungscode“ als Bedenken oder Herausforderung bei Open-Source-Software.
Synopsys-Studien haben ebenfalls eine Korrelation zwischen dem Umfang der Nutzung von Open-Source-Software (OSS) und dem damit verbundenen Risiko festgestellt. Mit zunehmendem Umfang der OSS-Nutzung wird natürlich auch ihre Präsenz in Anwendungen zunehmen. Der Druck, das Risikomanagement in der Softwarelieferkette zu verbessern, hat ein Schlaglicht auf sich gezogen Softwarerechnung Materialsammlung (SBOM). Aber mit der explodierenden OSS-Nutzung und dem glanzlosen OSS-Management wird die SBOM-Erstellung zu einer komplexen Aufgabe – und 39 % der Umfrageteilnehmer in der ESG-Studie bezeichneten die Verwendung von OSS als Herausforderung.
OSS-Risikomanagement hat Priorität, aber Organisationen fehlt es an einer klaren Abgrenzung der Verantwortlichkeiten.
Die Umfrage weist auf die Tatsache hin, dass der Fokus auf Open-Source-Patching nach den jüngsten Ereignissen (wie den Schwachstellen Log4Shell und Spring4Shell) zwar zu einem deutlichen Anstieg der OSS-Risikominderungsaktivitäten (die oben erwähnten 73 %) geführt hat, die Partei dafür aber verantwortlich ist Diese Minderungsbemühungen bleiben unklar.
Eine deutliche Mehrheit von DevOps-Teams betrachten die OSS-Verwaltung als Teil der Entwicklerrolle, während die meisten IT-Teams sie als Aufgabe des Sicherheitsteams betrachten. Dies könnte gut erklären, warum Organisationen lange darum gekämpft haben, OSS richtig zu patchen. Die Umfrage ergab, dass IT-Teams sich mehr Sorgen um die Quelle des OSS-Codes machen als Sicherheitsteams (48 % gegenüber 34 %), was die Rolle widerspiegelt, die die IT bei der ordnungsgemäßen Wartung von OSS-Schwachstellen-Patches spielt. Um das Wasser noch weiter zu trüben, sehen die Befragten aus den Bereichen IT und DevOps (mit 49 % und 40 %) die Identifizierung von Schwachstellen vor der Bereitstellung als Aufgabe des Sicherheitsteams an.
Die Befähigung der Entwickler nimmt zu, aber der Mangel an Sicherheitsexpertise ist problematisch.
Die „Verschiebung nach links“ war ein wichtiger Faktor, um die Sicherheitsverantwortung auf den Entwickler zu übertragen. Diese Verschiebung war nicht ohne Herausforderungen; Obwohl 68 % der Befragten die Entwicklerunterstützung als eine hohe Priorität in ihrem Unternehmen bezeichneten, waren nur 34 % der Sicherheitsteilnehmer tatsächlich zuversichtlich, dass Entwicklungsteams die Verantwortung für Sicherheitstests übernehmen würden.
Bedenken wie die Überlastung der Entwicklungsteams mit zusätzlichen Tools und Verantwortlichkeiten, die Unterbrechung von Innovation und Geschwindigkeit sowie die Erlangung einer Übersicht über die Sicherheitsbemühungen scheinen die größten Hindernisse für entwicklergeführte AppSec-Bemühungen zu sein. Eine Mehrheit der Sicherheits- und AppDev/DevOps-Befragten (bei 65 % und 60 %) verfügt über Richtlinien, die es Entwicklern ermöglichen, ihren Code ohne Interaktion mit Sicherheitsteams zu testen und zu reparieren, und 63 % der IT-Befragten gaben an, dass ihre Organisation Richtlinien hat, die die Einbeziehung von Entwicklern erfordern Sicherheitsteams.
Über den Autor
Mike McGuire ist Senior Solutions Manager bei Synopsys, wo er sich auf Open-Source- und Software-Supply-Chain-Risikomanagement konzentriert. Nachdem er seine Karriere als Softwareentwickler begonnen hatte, wechselte Mike in Produkt- und Marktstrategierollen, da er gerne mit den Käufern und Benutzern der Produkte, an denen er arbeitet, zusammenarbeitet. Aufgrund seiner mehrjährigen Erfahrung in der Softwarebranche ist Mikes Hauptziel, die komplexen AppSec-Probleme des Marktes mit den Lösungen von Synopsys zum Erstellen sicherer Software zu verbinden.
