Pada Agustus 2022, Enterprise Strategy Group (ESG) merilis โBerjalan di Garis: GitOps dan Shift Left Security,โ laporan penelitian keamanan pengembang multiklien yang memeriksa status keamanan aplikasi saat ini. Temuan utama laporan ini adalah prevalensi risiko rantai pasokan perangkat lunak dalam aplikasi cloud-native. Jason Schmitt, manajer umum Synopsys Software Integrity Group, menggemakan hal ini, dengan menyatakan, โKetika organisasi menyaksikan tingkat dampak potensial yang dapat ditimbulkan oleh kerentanan atau pelanggaran keamanan rantai pasokan perangkat lunak pada bisnis mereka melalui berita utama yang terkenal, prioritas strategi keamanan proaktif sekarang menjadi keharusan bisnis yang mendasar.โ
Laporan tersebut menunjukkan bahwa organisasi menyadari rantai pasokan lebih dari sekedar ketergantungan. Ini adalah alat/pipa pengembangan, repo, API, infrastruktur-sebagai-kode (IaC), wadah, konfigurasi cloud, dan banyak lagi.
Meskipun perangkat lunak open source mungkin menjadi perhatian rantai pasokan asli, pergeseran ke arah pengembangan aplikasi cloud-native membuat organisasi khawatir tentang risiko yang ditimbulkan pada node tambahan dari rantai pasokan mereka. Faktanya, 73% organisasi melaporkan bahwa mereka telah โmeningkatkan secara signifikanโ upaya keamanan rantai pasokan perangkat lunak mereka sebagai tanggapan terhadap serangan rantai pasokan baru-baru ini.
Responden survei laporan mengutip adopsi beberapa bentuk teknologi otentikasi multifaktor yang kuat (33%), investasi dalam kontrol pengujian keamanan aplikasi (32%), dan penemuan aset yang ditingkatkan untuk memperbarui inventaris permukaan serangan organisasi mereka (30%) sebagai keamanan utama inisiatif yang mereka kejar dalam menanggapi serangan rantai pasokan.
Empat puluh lima persen responden menyebut API sebagai area yang paling rentan diserang di organisasi mereka saat ini. Repositori penyimpanan data dianggap paling berisiko sebesar 42%, dan gambar wadah aplikasi diidentifikasi sebagai yang paling rentan sebesar 34%.
Laporan tersebut menunjukkan bahwa kurangnya manajemen open source mengancam kompilasi SBOM.
Survei menemukan bahwa 99% organisasi menggunakan atau berencana menggunakan perangkat lunak open source dalam 12 bulan ke depan. Sementara responden memiliki banyak kekhawatiran mengenai pemeliharaan, keamanan, dan kepercayaan proyek sumber terbuka ini, kekhawatiran mereka yang paling banyak dikutip berkaitan dengan skala di mana sumber terbuka dimanfaatkan dalam pengembangan aplikasi. Sembilan puluh satu persen organisasi yang menggunakan open source percaya bahwa kode organisasi mereka โ atau akan โ terdiri dari hingga 75% open source. Lima puluh empat persen responden menyebutkan "memiliki persentase tinggi dari kode aplikasi yang open source" sebagai perhatian atau tantangan dengan perangkat lunak open source.
Studi sinopsis juga menemukan korelasi antara skala penggunaan perangkat lunak sumber terbuka (OSS) dan adanya risiko terkait. Saat skala penggunaan OSS meningkat, kehadirannya dalam aplikasi juga akan meningkat secara alami. Tekanan untuk meningkatkan manajemen risiko rantai pasokan perangkat lunak telah menjadi sorotan tagihan perangkat lunak kompilasi bahan (SBOM). Namun dengan meledaknya penggunaan OSS dan manajemen OSS yang lesu, kompilasi SBOM menjadi tugas yang kompleks โ dan 39% responden survei dalam studi LST ditandai sebagai tantangan dalam menggunakan OSS.
Manajemen risiko OSS adalah prioritas, tetapi organisasi tidak memiliki gambaran tanggung jawab yang jelas.
Survei menunjukkan kenyataan bahwa sementara fokus pada patching open source setelah kejadian baru-baru ini (seperti kerentanan Log4Shell dan Spring4Shell) telah menghasilkan peningkatan yang signifikan dalam kegiatan mitigasi risiko OSS (73% yang kami sebutkan di atas), pihak yang bertanggung jawab untuk upaya mitigasi ini masih belum jelas.
Sebagian besar jelas tim DevOps melihat manajemen OSS sebagai bagian dari peran pengembang, sedangkan sebagian besar tim TI melihatnya sebagai tanggung jawab tim keamanan. Ini mungkin menjelaskan mengapa organisasi telah lama berjuang untuk menambal OSS dengan benar. Survei menemukan bahwa tim TI lebih peduli daripada tim keamanan (48% vs. 34%) tentang sumber kode OSS, yang merupakan cerminan dari peran TI dalam memelihara patch kerentanan OSS dengan benar. Semakin memperkeruh keadaan, responden IT dan DevOps (pada 49% dan 40%) memandang identifikasi kerentanan sebelum ditempatkan sebagai tanggung jawab tim keamanan.
Pemberdayaan pengembang berkembang, tetapi kurangnya keahlian keamanan menjadi masalah.
โBergeser ke kiriโ telah menjadi pendorong utama untuk mendorong tanggung jawab keamanan kepada pengembang. Pergeseran ini bukannya tanpa tantangan; meskipun 68% responden menyebut pemberdayaan pengembang sebagai prioritas tinggi dalam organisasi mereka, hanya 34% responden keamanan yang benar-benar merasa yakin dengan tim Pengembang yang bertanggung jawab atas pengujian keamanan.
Kekhawatiran seperti membebani tim pengembangan dengan alat dan tanggung jawab tambahan, mengganggu inovasi dan kecepatan, dan mendapatkan pengawasan terhadap upaya keamanan tampaknya menjadi hambatan terbesar bagi upaya AppSec yang dipimpin pengembang. Mayoritas responden keamanan dan AppDev/DevOps (pada 65% dan 60%) memiliki kebijakan yang memungkinkan pengembang menguji dan memperbaiki kode mereka tanpa interaksi dengan tim keamanan, dan 63% responden TI mengatakan organisasi mereka memiliki kebijakan yang mengharuskan pengembang untuk terlibat tim keamanan.
tentang Penulis
Mike McGuire adalah manajer solusi senior di Synopsys di mana ia berfokus pada manajemen risiko rantai pasokan sumber terbuka dan perangkat lunak. Setelah memulai karirnya sebagai insinyur perangkat lunak, Mike beralih ke peran produk dan strategi pasar, karena ia menikmati berinteraksi dengan pembeli dan pengguna produk yang ia kerjakan. Memanfaatkan beberapa tahun pengalaman dalam industri perangkat lunak, tujuan utama Mike adalah menghubungkan masalah AppSec pasar yang kompleks dengan solusi Synopsys untuk membangun perangkat lunak yang aman.
