रिपोर्ट पर प्रकाश डाला गया सॉफ्टवेयर आपूर्ति श्रृंखला जोखिमों की व्यापकता

समय टिकट: 7 सितंबर, 2022 11:44 पूर्वाह्न

अगस्त 2022 में, एंटरप्राइज स्ट्रैटेजी ग्रुप (ESG) ने जारी किया "वॉकिंग द लाइन: गिटऑप्स और शिफ्ट लेफ्ट सिक्योरिटी, "एप्लिकेशन सुरक्षा की वर्तमान स्थिति की जांच करने वाली एक बहु-क्लाइंट डेवलपर सुरक्षा अनुसंधान रिपोर्ट। रिपोर्ट की प्रमुख खोज क्लाउड-देशी अनुप्रयोगों में सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिमों की व्यापकता है। सिनॉप्सिस सॉफ्टवेयर इंटीग्रिटी ग्रुप के महाप्रबंधक जेसन श्मिट ने यह कहते हुए प्रतिध्वनित किया, "चूंकि संगठन संभावित प्रभाव के स्तर को देख रहे हैं कि एक सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा भेद्यता या उल्लंघन हाई-प्रोफाइल सुर्खियों के माध्यम से उनके व्यवसाय पर हो सकता है, की प्राथमिकता एक सक्रिय सुरक्षा रणनीति अब एक मूलभूत व्यावसायिक अनिवार्यता है।"

रिपोर्ट से पता चलता है कि संगठन यह महसूस कर रहे हैं कि आपूर्ति श्रृंखला सिर्फ निर्भरता से अधिक है। यह विकास उपकरण/पाइपलाइन, रेपो, एपीआई, इंफ्रास्ट्रक्चर-ए-कोड (आईएसी), कंटेनर, क्लाउड कॉन्फ़िगरेशन, और बहुत कुछ है।

हालांकि ओपन सोर्स सॉफ्टवेयर मूल आपूर्ति श्रृंखला चिंता का विषय हो सकता है, क्लाउड-नेटिव एप्लिकेशन डेवलपमेंट की ओर बदलाव से संगठन अपनी आपूर्ति श्रृंखला के अतिरिक्त नोड्स के लिए उत्पन्न जोखिमों के बारे में चिंतित हैं। वास्तव में, 73% संगठनों ने बताया कि हाल ही में आपूर्ति श्रृंखला हमलों के जवाब में उन्होंने अपने सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा प्रयासों में "काफी वृद्धि" की है।

रिपोर्ट के सर्वेक्षण के उत्तरदाताओं ने कुछ प्रकार के मजबूत बहुकारक प्रमाणीकरण प्रौद्योगिकी (33%) को अपनाने, अनुप्रयोग सुरक्षा परीक्षण नियंत्रणों में निवेश (32%), और अपने संगठन की हमले की सतह सूची (30%) को प्रमुख सुरक्षा के रूप में अद्यतन करने के लिए बेहतर संपत्ति खोज का हवाला दिया। आपूर्ति श्रृंखला हमलों के जवाब में वे पहल कर रहे हैं।

पैंतालीस प्रतिशत उत्तरदाताओं ने आज अपने संगठन में हमले के लिए अतिसंवेदनशील क्षेत्र के रूप में एपीआई का हवाला दिया। डेटा स्टोरेज रिपॉजिटरी को सबसे अधिक 42% जोखिम में माना जाता था, और एप्लिकेशन कंटेनर छवियों को 34% द्वारा अतिसंवेदनशील के रूप में पहचाना जाता था।

रिपोर्ट से पता चलता है कि ओपन सोर्स प्रबंधन की कमी से SBOM संकलन को खतरा है.

सर्वेक्षण में पाया गया कि 99% संगठन अगले 12 महीनों के भीतर या तो ओपन सोर्स सॉफ़्टवेयर का उपयोग करने की योजना बना रहे हैं या उपयोग करने की योजना बना रहे हैं। जबकि उत्तरदाताओं को इन ओपन सोर्स प्रोजेक्ट्स के रखरखाव, सुरक्षा और विश्वसनीयता के बारे में कई चिंताएं हैं, उनकी सबसे अधिक चिंता उस पैमाने से संबंधित है जिस पर एप्लिकेशन डेवलपमेंट के भीतर ओपन सोर्स का लाभ उठाया जा रहा है। ओपन सोर्स का उपयोग करने वाले नब्बे प्रतिशत संगठनों का मानना ​​है कि उनके संगठन का कोड है - या होगा - 75% तक ओपन सोर्स से बना है। उत्तरदाताओं के चौबीस प्रतिशत ने ओपन सोर्स सॉफ़्टवेयर के साथ चिंता या चुनौती के रूप में "ओपन सोर्स वाले एप्लिकेशन कोड का उच्च प्रतिशत होने" का हवाला दिया।

इसी तरह सिनोप्सिस के अध्ययन में ओपन सोर्स सॉफ्टवेयर (ओएसएस) के उपयोग के पैमाने और संबंधित जोखिम की उपस्थिति के बीच एक संबंध पाया गया है। जैसे-जैसे ओएसएस उपयोग का पैमाना बढ़ता है, अनुप्रयोगों में इसकी उपस्थिति स्वाभाविक रूप से भी बढ़ेगी। सॉफ्टवेयर आपूर्ति श्रृंखला जोखिम प्रबंधन में सुधार के दबाव ने इस पर प्रकाश डाला है सॉफ्टवेयर बिल सामग्री (एसबीओएम) संकलन। लेकिन ओएसएस उपयोग में विस्फोट और ओएसएस प्रबंधन की कमी के साथ, एसबीओएम संकलन एक जटिल कार्य बन जाता है - और ईएसजी अध्ययन में सर्वेक्षण उत्तरदाताओं के 39% को ओएसएस का उपयोग करने की चुनौती के रूप में चिह्नित किया गया है।

ओएसएस जोखिम प्रबंधन एक प्राथमिकता है, लेकिन संगठनों में जिम्मेदारियों के स्पष्ट चित्रण का अभाव है।

सर्वेक्षण वास्तविकता की ओर इशारा करता है कि हाल की घटनाओं (जैसे लॉग4शेल और स्प्रिंग4शेल कमजोरियों) के बाद ओपन सोर्स पैचिंग पर ध्यान केंद्रित करने के परिणामस्वरूप ओएसएस जोखिम शमन गतिविधियों में उल्लेखनीय वृद्धि हुई है (जिसका हमने ऊपर उल्लेख किया है 73%), इसके लिए जिम्मेदार पार्टी ये शमन प्रयास अस्पष्ट हैं।

का स्पष्ट बहुमत देवओप्स टीमें OSS प्रबंधन को डेवलपर की भूमिका के हिस्से के रूप में देखते हैं, जबकि अधिकांश IT टीमें इसे सुरक्षा टीम की जिम्मेदारी के रूप में देखती हैं। यह अच्छी तरह से समझा सकता है कि ओएसएस को ठीक से पैच करने के लिए संगठनों ने लंबे समय तक संघर्ष क्यों किया है। सर्वेक्षण में पाया गया कि IT टीमें OSS कोड के स्रोत के बारे में सुरक्षा टीमों (48% बनाम 34%) की तुलना में अधिक चिंतित हैं, जो OSS भेद्यता पैच को ठीक से बनाए रखने में IT की भूमिका पर एक प्रतिबिंब है। पानी को और भी खराब करते हुए, IT और DevOps उत्तरदाताओं (49% और 40% पर) सुरक्षा टीम की जिम्मेदारी के रूप में तैनाती से पहले कमजोरियों की पहचान को देखते हैं।

डेवलपर सक्षमता बढ़ रही है, लेकिन सुरक्षा विशेषज्ञता की कमी समस्याग्रस्त है।

"बाएं स्थानांतरित करना" डेवलपर को सुरक्षा जिम्मेदारियों को आगे बढ़ाने का एक प्रमुख चालक रहा है। यह बदलाव चुनौतियों के बिना नहीं रहा; हालांकि 68% उत्तरदाताओं ने अपने संगठन में डेवलपर सक्षमता को उच्च प्राथमिकता के रूप में नामित किया, केवल 34% सुरक्षा उत्तरदाताओं ने वास्तव में सुरक्षा परीक्षण की जिम्मेदारी लेने वाली विकास टीमों के साथ आत्मविश्वास महसूस किया।

अतिरिक्त टूलिंग और जिम्मेदारियों के साथ विकास टीमों पर अधिक बोझ डालना, नवाचार और वेग को बाधित करना, और सुरक्षा प्रयासों में निरीक्षण प्राप्त करना, डेवलपर के नेतृत्व वाले ऐपसेक प्रयासों के लिए सबसे बड़ी बाधा प्रतीत होती है। अधिकांश सुरक्षा और AppDev/DevOps उत्तरदाताओं (65% और 60% पर) के पास ऐसी नीतियां हैं जो डेवलपर्स को सुरक्षा टीमों के साथ बातचीत के बिना अपने कोड का परीक्षण और ठीक करने की अनुमति देती हैं, और 63% आईटी उत्तरदाताओं ने कहा कि उनके संगठन में ऐसी नीतियां हैं जिनमें डेवलपर्स को शामिल करने की आवश्यकता है सुरक्षा दल।

लेखक के बारे में

हेडशॉट.पीएनजी

माइक मैकगायर सिनोप्सिस में एक वरिष्ठ समाधान प्रबंधक हैं जहां उनका ध्यान ओपन सोर्स और सॉफ्टवेयर आपूर्ति श्रृंखला जोखिम प्रबंधन पर है। एक सॉफ्टवेयर इंजीनियर के रूप में अपना करियर शुरू करने के बाद, माइक ने उत्पाद और बाजार रणनीति भूमिकाओं में बदलाव किया, क्योंकि वह उन उत्पादों के खरीदारों और उपयोगकर्ताओं के साथ इंटरफेस करने का आनंद लेता है जिन पर वह काम करता है। सॉफ्टवेयर उद्योग में कई वर्षों के अनुभव का लाभ उठाते हुए, माइक का मुख्य उद्देश्य सुरक्षित सॉफ्टवेयर के निर्माण के लिए बाजार की जटिल ऐपसेक समस्याओं को सिनोप्सिस के समाधानों से जोड़ना है।

समय टिकट:

से अधिक डार्क रीडिंग