En août 2022, l’Enterprise Strategy Group (ESG) a publié «Suivre la ligne : GitOps et Shift Left Security», un rapport de recherche sur la sécurité des développeurs multiclients examinant l'état actuel de la sécurité des applications. La principale conclusion du rapport est la prévalence des risques liés à la chaîne d’approvisionnement logicielle dans les applications cloud natives. Jason Schmitt, directeur général du Synopsys Software Integrity Group, a fait écho à cela, déclarant : « Alors que les organisations sont témoins du niveau d'impact potentiel qu'une vulnérabilité ou une violation de la sécurité de la chaîne d'approvisionnement logicielle peut avoir sur leur activité à travers des titres très médiatisés, la priorité est donnée à une stratégie de sécurité proactive est désormais un impératif commercial fondamental.
Le rapport montre que les organisations réalisent que la chaîne d’approvisionnement est bien plus que de simples dépendances. Il s'agit d'outils/pipelines de développement, de dépôts, d'API, d'infrastructure en tant que code (IaC), de conteneurs, de configurations cloud, etc.
Même si les logiciels open source constituent peut-être la préoccupation initiale de la chaîne d'approvisionnement, la transition vers le développement d'applications cloud natives inquiète les organisations quant aux risques posés aux nœuds supplémentaires de leur chaîne d'approvisionnement. En fait, 73 % des organisations ont déclaré avoir « considérablement augmenté » leurs efforts en matière de sécurité de la chaîne d’approvisionnement logicielle en réponse aux récentes attaques de la chaîne d’approvisionnement.
Les répondants à l'enquête du rapport ont cité l'adoption d'une certaine forme de technologie d'authentification multifactorielle forte (33 %), l'investissement dans les contrôles de tests de sécurité des applications (32 %) et l'amélioration de la découverte des actifs pour mettre à jour l'inventaire de la surface d'attaque de leur organisation (30 %) comme éléments clés de la sécurité. initiatives qu’ils poursuivent en réponse aux attaques de la chaîne d’approvisionnement.
Quarante-cinq pour cent des personnes interrogées ont cité les API comme le domaine le plus susceptible d'être attaqué dans leur organisation aujourd'hui. Les référentiels de stockage de données ont été considérés comme les plus à risque par 42 %, et les images de conteneurs d'applications ont été identifiées comme les plus sensibles par 34 %.
Le rapport montre que le manque de gestion open source menace la compilation SBOM.
L'enquête révèle que 99 % des organisations utilisent ou prévoient d'utiliser des logiciels open source au cours des 12 prochains mois. Même si les personnes interrogées ont de nombreuses inquiétudes concernant la maintenance, la sécurité et la fiabilité de ces projets open source, leur préoccupation la plus citée concerne l'échelle à laquelle l'open source est exploité dans le développement d'applications. Quatre-vingt-onze pour cent des organisations utilisant l’open source pensent que le code de leur organisation est – ou sera – composé à hauteur de 75 % d’open source. Cinquante-quatre pour cent des personnes interrogées ont cité « le fait d'avoir un pourcentage élevé de code d'application qui est open source » comme préoccupation ou défi avec les logiciels open source.
Les études Synopsys ont également trouvé une corrélation entre l'ampleur de l'utilisation des logiciels open source (OSS) et la présence de risques associés. À mesure que l’utilisation des logiciels libres augmente, leur présence dans les applications augmentera naturellement également. La pression pour améliorer la gestion des risques liés à la chaîne d’approvisionnement logicielle a mis en lumière facture de logiciel compilation de matériaux (SBOM). Mais avec l’explosion de l’utilisation des logiciels libres et une gestion médiocre des logiciels libres, la compilation SBOM devient une tâche complexe – et 39 % des personnes interrogées dans l’étude ESG ont souligné que l’utilisation des logiciels libres était un défi.
La gestion des risques liés aux logiciels libres est une priorité, mais les organisations ne disposent pas d'une délimitation claire des responsabilités.
L'enquête souligne la réalité selon laquelle, même si l'accent mis sur les correctifs open source suite aux événements récents (tels que les vulnérabilités Log4Shell et Spring4Shell) a entraîné une augmentation significative des activités d'atténuation des risques OSS (les 73 % mentionnés ci-dessus), la partie responsable de ces efforts d’atténuation restent flous.
Une nette majorité de Les équipes DevOps considèrent la gestion des logiciels libres comme faisant partie du rôle du développeur, alors que la plupart des équipes informatiques la considèrent comme une responsabilité de l'équipe de sécurité. Cela pourrait bien expliquer pourquoi les organisations ont longtemps eu du mal à mettre à jour correctement les logiciels libres. L'enquête a révélé que les équipes informatiques sont plus préoccupées que les équipes de sécurité (48 % contre 34 %) par la source du code OSS, ce qui reflète le rôle de l'informatique dans la maintenance correcte des correctifs de vulnérabilité OSS. Ce qui rend les choses encore plus confuses, c'est que les personnes interrogées en informatique et DevOps (à 49 % et 40 %) considèrent que l'identification des vulnérabilités avant le déploiement relève de la responsabilité de l'équipe de sécurité.
L'habilitation des développeurs augmente, mais le manque d'expertise en sécurité est problématique.
Le « déplacement vers la gauche » a été un facteur clé pour confier les responsabilités en matière de sécurité au développeur. Ce changement ne s'est pas fait sans difficultés ; Bien que 68 % des personnes interrogées aient désigné l'aide aux développeurs comme une priorité élevée dans leur organisation, seuls 34 % des personnes interrogées en matière de sécurité se sentaient réellement confiantes dans le fait que les équipes de développement assument la responsabilité des tests de sécurité.
Les préoccupations telles que la surcharge des équipes de développement avec des outils et des responsabilités supplémentaires, la perturbation de l'innovation et de la rapidité et l'obtention d'une supervision des efforts de sécurité semblent être les plus grands obstacles aux efforts AppSec dirigés par les développeurs. Une majorité des personnes interrogées dans les domaines de la sécurité et de l'AppDev/DevOps (à 65 % et 60 %) ont mis en place des politiques permettant aux développeurs de tester et de corriger leur code sans interaction avec les équipes de sécurité, et 63 % des personnes interrogées en informatique ont déclaré que leur organisation avait des politiques exigeant que les développeurs s'impliquent. équipes de sécurité.
À propos de l’auteur
Mike McGuire est responsable principal des solutions chez Synopsys, où il se concentre sur la gestion des risques de la chaîne d'approvisionnement open source et logicielle. Après avoir débuté sa carrière en tant qu'ingénieur logiciel, Mike a évolué vers des rôles de stratégie produit et de marché, car il aime interagir avec les acheteurs et les utilisateurs des produits sur lesquels il travaille. Fort de plusieurs années d'expérience dans l'industrie du logiciel, l'objectif principal de Mike est de relier les problèmes AppSec complexes du marché aux solutions Synopsys pour la création de logiciels sécurisés.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
