En agosto de 2022, Enterprise Strategy Group (ESG) publicó “Walking the Line: GitOps y Shift Left Security”, un informe de investigación de seguridad para desarrolladores multicliente que examina el estado actual de la seguridad de las aplicaciones. El hallazgo clave del informe es la prevalencia de los riesgos de la cadena de suministro de software en las aplicaciones nativas de la nube. Jason Schmitt, gerente general de Synopsys Software Integrity Group, se hizo eco de esto y afirmó: “A medida que las organizaciones son testigos del nivel de impacto potencial que una vulnerabilidad o violación de la seguridad de la cadena de suministro de software puede tener en su negocio a través de titulares de alto perfil, la priorización de una estrategia de seguridad proactiva es ahora un imperativo comercial fundamental”.
El informe muestra que las organizaciones se están dando cuenta de que la cadena de suministro es más que solo dependencias. Se trata de herramientas/tuberías de desarrollo, repositorios, API, infraestructura como código (IaC), contenedores, configuraciones de nube y más.
Aunque el software de código abierto puede ser la preocupación original de la cadena de suministro, el cambio hacia el desarrollo de aplicaciones nativas de la nube tiene a las organizaciones preocupadas por los riesgos que representan para los nodos adicionales de su cadena de suministro. De hecho, el 73% de las organizaciones informaron que han "aumentado significativamente" sus esfuerzos de seguridad de la cadena de suministro de software en respuesta a los recientes ataques a la cadena de suministro.
Quienes respondieron la encuesta del informe citaron la adopción de alguna forma de tecnología sólida de autenticación multifactorial (33 %), la inversión en controles de prueba de seguridad de aplicaciones (32 %) y el descubrimiento mejorado de activos para actualizar el inventario de superficie de ataque de su organización (30 %) como seguridad clave. iniciativas que persiguen en respuesta a los ataques a la cadena de suministro.
El cuarenta y cinco por ciento de los encuestados mencionaron las API como el área más susceptible de sufrir ataques en su organización en la actualidad. Los repositorios de almacenamiento de datos se consideraron con mayor riesgo en un 42 %, y las imágenes de contenedores de aplicaciones se identificaron como las más susceptibles en un 34 %.
El informe muestra que la falta de gestión de código abierto amenaza la compilación SBOM.
La encuesta encontró que el 99% de las organizaciones usan o planean usar software de código abierto en los próximos 12 meses. Si bien los encuestados tienen muchas preocupaciones con respecto al mantenimiento, la seguridad y la confiabilidad de estos proyectos de código abierto, su preocupación más citada se relaciona con la escala en la que se aprovecha el código abierto dentro del desarrollo de aplicaciones. El noventa y uno por ciento de las organizaciones que usan código abierto creen que el código de su organización está, o estará, compuesto por hasta un 75 % de código abierto. El cincuenta y cuatro por ciento de los encuestados mencionaron "tener un alto porcentaje de código de aplicación que es de código abierto" como una preocupación o desafío con el software de código abierto.
Los estudios de Synopsys también han encontrado una correlación entre la escala del uso de software de código abierto (OSS) y la presencia de riesgos relacionados. A medida que aumenta la escala del uso de OSS, su presencia en las aplicaciones también aumentará naturalmente. La presión para mejorar la gestión de riesgos de la cadena de suministro de software ha puesto el foco en factura de software de compilación de materiales (SBOM). Pero con el uso explosivo de OSS y la gestión mediocre de OSS, la compilación de SBOM se convierte en una tarea compleja, y el 39% de los encuestados en el estudio ESG señalaron como un desafío el uso de OSS.
La gestión de riesgos de OSS es una prioridad, pero las organizaciones carecen de una delimitación clara de responsabilidades.
La encuesta apunta hacia la realidad de que, si bien el enfoque en la aplicación de parches de código abierto después de eventos recientes (como las vulnerabilidades de Log4Shell y Spring4Shell) ha resultado en un aumento significativo en las actividades de mitigación de riesgos de OSS (el 73 % que mencionamos anteriormente), la parte responsable de estos esfuerzos de mitigación sigue sin estar claro.
Una clara mayoría de equipos de desarrollo y operaciones ven la administración de OSS como parte del rol de desarrollador, mientras que la mayoría de los equipos de TI lo ven como una responsabilidad del equipo de seguridad. Esto bien puede explicar por qué las organizaciones han luchado durante mucho tiempo para parchear correctamente el OSS. La encuesta encontró que los equipos de TI están más preocupados que los equipos de seguridad (48 % frente a 34 %) sobre la fuente del código OSS, lo que refleja el papel que tiene TI en el mantenimiento adecuado de los parches de vulnerabilidad OSS. Enturbiando aún más las cosas, los encuestados de TI y DevOps (49 % y 40 %) consideran que la identificación de vulnerabilidades antes de la implementación es responsabilidad del equipo de seguridad.
La habilitación de los desarrolladores está creciendo, pero la falta de experiencia en seguridad es problemática.
"Desplazarse a la izquierda" ha sido un factor clave para impulsar las responsabilidades de seguridad al desarrollador. Este cambio no ha estado exento de desafíos; aunque el 68 % de los encuestados mencionaron la habilitación de los desarrolladores como una alta prioridad en su organización, solo el 34 % de los encuestados en seguridad realmente se sentían seguros de que los equipos de desarrollo asumieran la responsabilidad de las pruebas de seguridad.
Preocupaciones como sobrecargar a los equipos de desarrollo con herramientas y responsabilidades adicionales, interrumpir la innovación y la velocidad, y obtener supervisión de los esfuerzos de seguridad parecen ser los mayores obstáculos para los esfuerzos de AppSec dirigidos por desarrolladores. La mayoría de los encuestados de seguridad y AppDev/DevOps (65 % y 60 %) tienen políticas implementadas que permiten a los desarrolladores probar y corregir su código sin interactuar con los equipos de seguridad, y el 63 % de los encuestados de TI dijeron que su organización tiene políticas que requieren que los desarrolladores participen equipos de seguridad
Sobre la autora
Mike McGuire es gerente sénior de soluciones en Synopsys, donde se enfoca en la gestión de riesgos de la cadena de suministro de software y código abierto. Después de comenzar su carrera como ingeniero de software, Mike hizo la transición a roles de estrategia de mercado y productos, ya que disfruta interactuando con los compradores y usuarios de los productos en los que trabaja. Aprovechando varios años de experiencia en la industria del software, el principal objetivo de Mike es conectar los complejos problemas de AppSec del mercado con las soluciones de Synopsys para crear software seguro.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
