2022. aasta augustis avaldas Enterprise Strategy Group (ESG) „Liini kõndimine: GitOps ja Shift Left Security”, mitme kliendi arendaja turbeuuringute aruanne, mis uurib rakenduste turvalisuse hetkeseisu. Aruande peamine järeldus on tarkvara tarneahela riskide levimus pilvepõhistes rakendustes. Jason Schmitt, Synopsys Software Integrity Groupi peadirektor, kordas seda, öeldes: "Kuna organisatsioonid on tunnistajaks potentsiaalsele mõjule, mida tarkvara tarneahela turvaaukude või -rikkumine võib nende äritegevusele avaldada kõrgetasemeliste pealkirjade kaudu, on ennetav turvastrateegia on nüüd äritegevuse põhivajadus.
Aruanne näitab, et organisatsioonid mõistavad, et tarneahel on enamat kui lihtsalt sõltuvused. See on arendustööriistad/torujuhtmed, repod, API-d, infrastruktuur koodina (IaC), konteinerid, pilvekonfiguratsioonid ja palju muud.
Kuigi avatud lähtekoodiga tarkvara võib olla algne tarneahela probleem, on üleminek pilvepõhiste rakenduste arendamisele organisatsioonid mures nende tarneahela täiendavate sõlmedega kaasnevate riskide pärast. Tegelikult teatas 73% organisatsioonidest, et nad on vastuseks hiljutistele tarneahela rünnakutele "oluliselt suurendanud" oma tarkvara tarneahela turvalisusega seotud jõupingutusi.
Aruande küsitlusele vastanud nimetasid peamise turvalisusena tugeva mitmefaktorilise autentimistehnoloogia kasutuselevõttu (33%), investeeringuid rakenduste turvatestimise kontrollidesse (32%) ja varade paremat avastamist, et värskendada oma organisatsiooni ründepindade loendit (30%). algatused, mida nad teevad vastuseks tarneahela rünnakutele.
42 protsenti vastanutest nimetas API-sid kui valdkonda, mis on tänapäeval nende organisatsioonis kõige vastuvõtlikum rünnakutele. 34% pidas andmesalvestushoidlaid kõige ohustatumaks ja XNUMX% pidas kõige vastuvõtlikumaks rakenduste konteineri kujutisi.
Aruanne näitab, et avatud lähtekoodiga halduse puudumine ohustab SBOM-i koostamist.
Uuringust selgus, et 99% organisatsioonidest kas kasutavad või kavatsevad järgmise 12 kuu jooksul kasutada avatud lähtekoodiga tarkvara. Kuigi vastajatel on nende avatud lähtekoodiga projektide hoolduse, turvalisuse ja usaldusväärsuse pärast palju muret, on nende enim viidatud mure seotud sellega, kui suures ulatuses kasutatakse avatud lähtekoodi rakenduste arendamisel. 75 protsenti avatud lähtekoodi kasutavatest organisatsioonidest usub, et nende organisatsiooni kood koosneb või hakkab koosnema kuni XNUMX% avatud lähtekoodist. XNUMX protsenti vastanutest nimetas avatud lähtekoodiga tarkvaraga seotud muret või väljakutset suure osa rakenduse koodi olemasolust.
Sünopsia uuringud on samuti leidnud korrelatsiooni avatud lähtekoodiga tarkvara (OSS) kasutamise ulatuse ja sellega seotud riski olemasolu vahel. OSS-i kasutamise ulatuse suurenedes suureneb loomulikult ka selle olemasolu rakendustes. Surve tarkvara tarneahela riskijuhtimise parandamiseks on asetanud tähelepanu keskpunkti tarkvara arve materjalide (SBOM) koostamine. Kuid OSS-i plahvatusliku kasutamise ja puuduliku OSS-i haldamise tõttu muutub SBOM-i koostamine keeruliseks ülesandeks – ja 39% ESG-uuringus osalenud küsitlusele vastanutest märkis, et OSS-i kasutamine on väljakutse.
OSS-i riskijuhtimine on prioriteet, kuid organisatsioonidel puudub selge vastutuse piiritlemine.
Uuring viitab tegelikkusele, et kuigi keskendumine avatud lähtekoodiga lappidele pärast hiljutisi sündmusi (nagu Log4Shelli ja Spring4Shelli haavatavused) on kaasa toonud OSS-i riskide maandamise tegevuste märkimisväärse suurenemise (73%, mida eespool mainisime), on selle eest vastutav osapool. need leevendamispüüdlused jäävad ebaselgeks.
Selge enamus DevOpsi meeskonnad OSS-i haldamine on osa arendaja rollist, samas kui enamik IT-meeskondi peab seda turvameeskonna kohustuseks. See võib hästi selgitada, miks organisatsioonid on pikka aega näinud vaeva OSS-i korrektse parandamisega. Uuring näitas, et IT-meeskonnad tunnevad OSS-koodi allika pärast rohkem muret kui turvameeskonnad (48% vs 34%), mis peegeldab IT rolli OSS-i haavatavuste paikade hooldamisel. Märgates vett veelgi, IT ja DevOpsi vastajad (49% ja 40%) peavad turvameeskonna kohustuseks haavatavuste tuvastamist enne juurutamist.
Arendajate võimalused kasvavad, kuid turbeteadmiste puudumine on problemaatiline.
"Vasakule nihutamine" on olnud peamiseks tõukejõuks, mis sunnib arendajale turvalisusega seotud kohustusi täitma. See nihe ei ole olnud väljakutseteta; kuigi 68% vastanutest nimetas arendajate võimaldamist oma organisatsioonis oluliseks prioriteediks, tundis ainult 34% turvalisusele vastanutest end kindlalt, kui arendusmeeskonnad võtsid vastutuse turvatestimise eest.
Tundub, et arendaja juhitud AppSeci jõupingutuste suurimaks takistuseks on sellised probleemid nagu arendusmeeskondade ülekoormamine täiendavate tööriistade ja kohustustega, innovatsiooni ja kiiruse häirimine ning turbealaste jõupingutuste järelevalve saavutamine. Enamikul turbe- ja AppDev/DevOpsi vastajatest (65% ja 60%) on kehtestatud eeskirjad, mis võimaldavad arendajatel testida ja parandada oma koodi ilma turvameeskondadega suhtlemata, ning 63% IT-vastajatest ütles, et nende organisatsioonis on eeskirjad, mis nõuavad arendajate kaasamist. turvameeskonnad.
Teave Autor
Mike McGuire on Synopsyse vanemlahenduste juht, kus ta on keskendunud avatud lähtekoodiga ja tarkvara tarneahela riskijuhtimisele. Pärast tarkvarainsenerina karjääri alustamist läks Mike üle toote- ja turustrateegia rollidesse, kuna talle meeldib suhelda oma toodete ostjate ja kasutajatega. Kasutades mitmeaastast kogemust tarkvaratööstuses, on Mike'i peamine eesmärk ühendada turu keerulised AppSec-probleemid Synopsyse lahendustega turvalise tarkvara loomiseks.
