Raportti korostaa ohjelmiston toimitusketjun riskien yleisyyttä

Elokuussa 2022 Enterprise Strategy Group (ESG) julkaisi "Walking the Line: GitOps ja Shift Left Security”, usean asiakkaan kehittäjien tietoturvatutkimusraportti, jossa tarkastellaan sovellusten suojauksen nykytilaa. Raportin keskeisin havainto on ohjelmistojen toimitusketjun riskien yleisyys pilvipohjaisissa sovelluksissa. Synopsys Software Integrity Groupin pääjohtaja Jason Schmitt toisti tämän toteamalla: "Koska organisaatiot ovat todistamassa ohjelmiston toimitusketjun tietoturvahaavoittuvuuden tai -loukkauksen mahdollisia vaikutuksia heidän liiketoimintaansa korkean profiilin otsikoiden kautta, Ennakoiva tietoturvastrategia on nyt yrityksen perustavanlaatuinen välttämättömyys."

Raportti osoittaa, että organisaatiot ymmärtävät, että toimitusketju on enemmän kuin pelkkä riippuvuus. Se sisältää kehitystyökaluja/putkia, repoja, API:ita, infrastruktuuria koodina (IaC), säilöjä, pilvikokoonpanoja ja paljon muuta.

Vaikka avoimen lähdekoodin ohjelmistot voivat olla alkuperäinen toimitusketjun huolenaihe, siirtyminen kohti pilvipohjaista sovelluskehitystä saa organisaatiot huolestumaan toimitusketjunsa lisäsolmuille aiheutuvista riskeistä. Itse asiassa 73 % organisaatioista ilmoitti, että ne ovat "lisänneet merkittävästi" ohjelmistojen toimitusketjun turvatoimiaan vastauksena viimeaikaisiin toimitusketjuhyökkäyksiin.

Raportin kyselyyn vastanneet mainitsevat avaintietoturvana jonkinlaisen vahvan monitekijätodennusteknologian käyttöönoton (33 %), investoinnit sovellusten tietoturvatestauksen valvontaan (32 %) ja parannetun omaisuuden löytämisen organisaationsa hyökkäyspinnan inventaarion päivittämiseksi (30 %). aloitteita, joita ne toteuttavat vastauksena toimitusketjun hyökkäyksiin.

42 prosenttia vastaajista mainitsi sovellusliittymiä alttiina hyökkäyksille organisaatiossaan nykyään. 34 % piti tietovarastoja vaarallisimpana ja sovellussäiliökuvia XNUMX % havaitsi alttiimmiksi.

Raportti osoittaa, että avoimen lähdekoodin hallinnan puute uhkaa SBOM-kokoelmaa.

Tutkimuksen mukaan 99 % organisaatioista joko käyttää tai aikoo käyttää avoimen lähdekoodin ohjelmistoja seuraavan 12 kuukauden aikana. Vaikka vastaajilla on monia huolenaiheita näiden avoimen lähdekoodin projektien ylläpidosta, turvallisuudesta ja luotettavuudesta, heidän eniten mainittu huolensa liittyy siihen, missä määrin avointa lähdekoodia hyödynnetään sovelluskehityksessä. 75 prosenttia avointa lähdekoodia käyttävistä organisaatioista uskoo, että heidän organisaationsa koodi koostuu tai tulee koostumaan jopa XNUMX prosentista avoimesta lähdekoodista. Viisikymmentäneljä prosenttia vastaajista mainitsi avoimen lähdekoodin sovelluskoodin suuren osuuden avoimen lähdekoodin ohjelmistojen huolenaiheena tai haasteena.

Synopsys-tutkimukset ovat myös löytäneet korrelaation avoimen lähdekoodin ohjelmistojen (OSS) käytön laajuuden ja siihen liittyvien riskien välillä. OSS:n käytön laajuuden kasvaessa myös sen läsnäolo sovelluksissa kasvaa luonnollisesti. Paine parantaa ohjelmistojen toimitusketjun riskienhallintaa on nostanut valokeilassa ohjelmistolasku materiaalien (SBOM) kokoelma. Mutta OSS:n räjähdysmäisen lisääntyneen käytön ja puutteellisen OSS-hallinnan myötä SBOM-kokoelmasta tulee monimutkainen tehtävä – ja 39 % ESG-tutkimuksen kyselyyn vastanneista piti OSS:n käytön haasteena.

OSS-riskinhallinta on prioriteetti, mutta organisaatioilta puuttuu selkeä vastuunjako.

Tutkimus viittaa todellisuuteen, että vaikka keskittyminen avoimen lähdekoodin korjauksiin viimeaikaisten tapahtumien (kuten Log4Shell- ja Spring4Shell-haavoittuvuuksien) jälkeen on johtanut OSS-riskinhallintatoimien huomattavaan lisääntymiseen (yllä mainitsemamme 73 %), nämä lieventämistoimet ovat edelleen epäselviä.

Selkeä enemmistö DevOps-tiimit pitävät OSS-hallintaa osana kehittäjän roolia, kun taas useimmat IT-tiimit pitävät sitä tietoturvatiimin vastuuna. Tämä saattaa hyvinkin selittää, miksi organisaatiot ovat pitkään kamppailleet OSS:n korjaamiseksi oikein. Tutkimus osoitti, että IT-tiimit ovat tietoturvatiimiä (48 % vs. 34 %) enemmän huolissaan OSS-koodin lähteestä, mikä kuvastaa IT:n roolia OSS:n haavoittuvuuskorjausten asianmukaisessa ylläpidossa. Vesistöjä myöten edelleen, IT- ja DevOps-vastaajat (49 % ja 40 %) pitävät haavoittuvuuksien tunnistamista ennen käyttöönottoa tietoturvatiimin vastuulla.

Kehittäjien käyttömahdollisuudet kasvavat, mutta tietoturvaosaamisen puute on ongelmallista.

"Siirtyminen vasemmalle" on ollut avaintekijä tietoturvavastuiden siirtämisessä kehittäjälle. Tämä muutos ei ole ollut ilman haasteita; vaikka 68 % vastaajista piti kehittäjien mahdollistamista tärkeänä prioriteettina organisaatiossaan, vain 34 % tietoturvaan vastanneista uskoi itse asiassa, että kehitystiimit ottivat vastuun tietoturvatestauksesta.

Huolet, kuten kehitystiimien ylikuormittaminen lisätyökaluilla ja -vastuilla, innovaatioiden ja nopeuden häiriintyminen sekä tietoturvatoimien valvonnan saaminen, näyttävät olevan suurimmat esteet kehittäjien johtamalle AppSec-työlle. Suurimmalla osalla tietoturva- ja AppDev/DevOps-vastaajista (65 % ja 60 %) on käytössä käytännöt, joiden avulla kehittäjät voivat testata ja korjata koodiaan ilman vuorovaikutusta tietoturvatiimien kanssa, ja 63 % IT-vastaajista sanoi, että heidän organisaatiossaan on käytäntöjä, jotka edellyttävät kehittäjien osallistumista. turvallisuusryhmät.

kirjailijasta

Mike McGuire on vanhempi ratkaisupäällikkö Synopsysissa, jossa hän keskittyy avoimen lähdekoodin ja ohjelmistojen toimitusketjun riskien hallintaan. Aloitettuaan uransa ohjelmistoinsinöörinä, Mike siirtyi tuote- ja markkinastrategiarooleihin, koska hän nauttii vuorovaikutuksesta työskentelevien tuotteiden ostajien ja käyttäjien kanssa. Hyödyntämällä useiden vuosien kokemusta ohjelmistoteollisuudesta, Miken päätavoitteena on yhdistää markkinoiden monimutkaiset AppSec-ongelmat Synopsysin turvallisten ohjelmistojen rakentamisratkaisuihin.