Τον Αύγουστο του 2022, το Enterprise Strategy Group (ESG) κυκλοφόρησε το «Walking the Line: GitOps και Shift Left Security», μια έρευνα για την ασφάλεια πολλών πελατών για προγραμματιστές που εξετάζει την τρέχουσα κατάσταση ασφάλειας εφαρμογών. Το βασικό εύρημα της έκθεσης είναι η επικράτηση των κινδύνων της εφοδιαστικής αλυσίδας λογισμικού σε εφαρμογές εγγενείς στο cloud. Ο Jason Schmitt, γενικός διευθυντής του Ομίλου Synopsys Software Integrity, επανέλαβε αυτό, δηλώνοντας: «Καθώς οι οργανισμοί βλέπουν το επίπεδο του πιθανού αντίκτυπου που μπορεί να έχει στην επιχείρησή τους μια ευπάθεια ή παραβίαση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού στην επιχείρησή τους μέσω πρωτοσέλιδων υψηλού προφίλ, η προτεραιότητα μια προληπτική στρατηγική ασφάλειας είναι πλέον μια θεμελιώδης επιχειρηματική επιταγή».
Η έκθεση δείχνει ότι οι οργανισμοί συνειδητοποιούν ότι η εφοδιαστική αλυσίδα είναι κάτι περισσότερο από εξαρτήσεις. Είναι εργαλεία/σωλήνες ανάπτυξης, repos, API, υποδομή ως κώδικας (IaC), κοντέινερ, διαμορφώσεις cloud και πολλά άλλα.
Αν και το λογισμικό ανοιχτού κώδικα μπορεί να είναι η αρχική ανησυχία της εφοδιαστικής αλυσίδας, η στροφή προς την ανάπτυξη εφαρμογών εγγενούς στο cloud ανησυχεί τους οργανισμούς για τους κινδύνους που ενέχουν πρόσθετους κόμβους της αλυσίδας εφοδιασμού τους. Στην πραγματικότητα, το 73% των οργανισμών ανέφερε ότι έχουν «αυξήσει σημαντικά» τις προσπάθειες ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού ως απάντηση σε πρόσφατες επιθέσεις στην αλυσίδα εφοδιασμού.
Οι ερωτηθέντες στην έρευνα της έκθεσης ανέφεραν την υιοθέτηση κάποιας μορφής ισχυρής τεχνολογίας ελέγχου ταυτότητας πολλαπλών παραγόντων (33%), την επένδυση σε ελέγχους δοκιμών ασφαλείας εφαρμογών (32%) και τη βελτιωμένη ανακάλυψη στοιχείων για την ενημέρωση του αποθέματος επιφανειών επιθέσεων του οργανισμού τους (30%) ως βασικής ασφάλειας πρωτοβουλίες που ακολουθούν ως απάντηση σε επιθέσεις στην εφοδιαστική αλυσίδα.
Το σαράντα πέντε τοις εκατό των ερωτηθέντων ανέφεραν τα API ως την περιοχή που είναι πιο επιρρεπής σε επιθέσεις στον οργανισμό τους σήμερα. Τα αποθετήρια αποθήκευσης δεδομένων θεωρήθηκαν περισσότερο σε κίνδυνο κατά 42%, και οι εικόνες δοχείων εφαρμογών αναγνωρίστηκαν ως πιο ευαίσθητες κατά 34%.
Η έκθεση δείχνει ότι η έλλειψη διαχείρισης ανοιχτού κώδικα απειλεί τη συλλογή SBOM.
Η έρευνα διαπίστωσε ότι το 99% των οργανισμών είτε χρησιμοποιούν είτε σχεδιάζουν να χρησιμοποιήσουν λογισμικό ανοιχτού κώδικα μέσα στους επόμενους 12 μήνες. Ενώ οι ερωτηθέντες έχουν πολλές ανησυχίες σχετικά με τη συντήρηση, την ασφάλεια και την αξιοπιστία αυτών των έργων ανοιχτού κώδικα, η ανησυχία τους που αναφέρεται περισσότερο σχετίζεται με την κλίμακα στην οποία χρησιμοποιείται ο ανοιχτός κώδικας στην ανάπτυξη εφαρμογών. Το ενενήντα ένα τοις εκατό των οργανισμών που χρησιμοποιούν ανοιχτό κώδικα πιστεύουν ότι ο κώδικας του οργανισμού τους αποτελείται - ή θα αποτελείται - από έως και 75% ανοιχτού κώδικα. Το XNUMX τοις εκατό των ερωτηθέντων ανέφερε ότι «έχει υψηλό ποσοστό κώδικα εφαρμογής που είναι ανοιχτού κώδικα» ως ανησυχία ή πρόκληση με το λογισμικό ανοιχτού κώδικα.
Οι μελέτες της Synopsys έχουν επίσης βρει μια συσχέτιση μεταξύ της κλίμακας χρήσης λογισμικού ανοιχτού κώδικα (OSS) και της παρουσίας σχετικού κινδύνου. Καθώς αυξάνεται η κλίμακα χρήσης του OSS, η παρουσία του σε εφαρμογές φυσικά θα αυξάνεται επίσης. Η πίεση για τη βελτίωση της διαχείρισης κινδύνου της εφοδιαστικής αλυσίδας λογισμικού έχει βάλει στο προσκήνιο λογαριασμός λογισμικού συλλογή υλικών (SBOM). Όμως, με την εκρηκτική χρήση OSS και την ανυπόφορη διαχείριση OSS, η συλλογή SBOM γίνεται πολύπλοκη εργασία — και το 39% των ερωτηθέντων στην έρευνα στη μελέτη ESG χαρακτηρίστηκε ως πρόκληση για τη χρήση του OSS.
Η διαχείριση κινδύνου OSS αποτελεί προτεραιότητα, αλλά οι οργανισμοί δεν έχουν σαφή οριοθέτηση των ευθυνών.
Η έρευνα δείχνει προς την πραγματικότητα ότι ενώ η εστίαση στην ενημέρωση κώδικα ανοιχτού κώδικα μετά από πρόσφατα γεγονότα (όπως τα τρωτά σημεία Log4Shell και Spring4Shell) είχε ως αποτέλεσμα σημαντική αύξηση στις δραστηριότητες μετριασμού του κινδύνου OSS (το 73% που αναφέραμε παραπάνω), το μέρος που είναι υπεύθυνο για αυτές οι προσπάθειες μετριασμού παραμένουν ασαφείς.
Μια σαφής πλειοψηφία των Ομάδες DevOps δείτε τη διαχείριση OSS ως μέρος του ρόλου του προγραμματιστή, ενώ οι περισσότερες ομάδες IT τη θεωρούν ως ευθύνη της ομάδας ασφαλείας. Αυτό μπορεί κάλλιστα να εξηγήσει γιατί οι οργανισμοί αγωνίζονται εδώ και καιρό να επιδιορθώσουν σωστά το OSS. Η έρευνα διαπίστωσε ότι οι ομάδες IT ανησυχούν περισσότερο από τις ομάδες ασφαλείας (48% έναντι 34%) για την πηγή του κώδικα OSS, κάτι που αντικατοπτρίζει τον ρόλο που έχει το IT στη σωστή διατήρηση των ενημερώσεων κώδικα ευπάθειας του OSS. Θολώνοντας ακόμη περισσότερο τα νερά, οι ερωτηθέντες IT και DevOps (σε ποσοστό 49% και 40%) θεωρούν τον εντοπισμό των τρωτών σημείων πριν από την ανάπτυξη ως ευθύνη της ομάδας ασφαλείας.
Η ενεργοποίηση προγραμματιστών αυξάνεται, αλλά η έλλειψη τεχνογνωσίας σε θέματα ασφάλειας είναι προβληματική.
Η "μετατόπιση προς τα αριστερά" υπήρξε βασικός μοχλός για την προώθηση των ευθυνών ασφαλείας στον προγραμματιστή. Αυτή η αλλαγή δεν ήταν χωρίς προκλήσεις. Παρόλο που το 68% των ερωτηθέντων χαρακτήρισαν την ενεργοποίηση προγραμματιστή ως υψηλή προτεραιότητα στον οργανισμό τους, μόνο το 34% των ερωτηθέντων στον τομέα της ασφάλειας ένιωσαν πραγματικά σίγουροι ότι οι ομάδες ανάπτυξης αναλαμβάνουν την ευθύνη για τις δοκιμές ασφαλείας.
Ανησυχίες όπως η υπερβολική επιβάρυνση των ομάδων ανάπτυξης με πρόσθετα εργαλεία και αρμοδιότητες, η διακοπή της καινοτομίας και της ταχύτητας και η επίβλεψη των προσπαθειών ασφάλειας φαίνεται να είναι τα μεγαλύτερα εμπόδια στις προσπάθειες της AppSec υπό την ηγεσία των προγραμματιστών. Η πλειονότητα των ερωτηθέντων σε θέματα ασφάλειας και AppDev/DevOps (σε 65% και 60%) έχουν θεσπίσει πολιτικές που επιτρέπουν στους προγραμματιστές να δοκιμάσουν και να διορθώσουν τον κώδικά τους χωρίς αλληλεπίδραση με ομάδες ασφαλείας και το 63% των ερωτηθέντων IT είπε ότι ο οργανισμός τους έχει πολιτικές που απαιτούν από τους προγραμματιστές να συμμετέχουν ομάδες ασφαλείας.
Σχετικά με το Συγγραφέας
Ο Mike McGuire είναι ανώτερος διευθυντής λύσεων στη Synopsys, όπου εστιάζει στη διαχείριση κινδύνου της εφοδιαστικής αλυσίδας ανοιχτού κώδικα και λογισμικού. Αφού ξεκίνησε την καριέρα του ως μηχανικός λογισμικού, ο Mike μεταπήδησε σε ρόλους στρατηγικής προϊόντων και αγοράς, καθώς του αρέσει η διασύνδεση με τους αγοραστές και τους χρήστες των προϊόντων στα οποία εργάζεται. Αξιοποιώντας την πολυετή εμπειρία στη βιομηχανία λογισμικού, ο κύριος στόχος του Mike είναι να συνδέσει τα πολύπλοκα προβλήματα AppSec της αγοράς με τις λύσεις της Synopsys για την κατασκευή ασφαλούς λογισμικού.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
