Nell’agosto 2022, l’Enterprise Strategy Group (ESG) ha pubblicato “Camminare sulla linea: GitOps e Shift Left Security", un rapporto di ricerca sulla sicurezza degli sviluppatori multiclient che esamina lo stato attuale della sicurezza delle applicazioni. Il risultato principale del rapporto è la prevalenza dei rischi legati alla catena di fornitura del software nelle applicazioni cloud-native. Jason Schmitt, direttore generale del Synopsys Software Integrity Group, ha fatto eco a questo, affermando: “Poiché le organizzazioni stanno testimoniando il livello di impatto potenziale che una vulnerabilità o una violazione della sicurezza della catena di fornitura del software può avere sulla loro attività attraverso titoli di alto profilo, la priorità di una strategia di sicurezza proattiva è oggi un imperativo aziendale fondamentale”.
Il rapporto mostra che le organizzazioni si stanno rendendo conto che la catena di fornitura è molto più che semplici dipendenze. Si tratta di strumenti/pipeline di sviluppo, repository, API, infrastruttura come codice (IaC), contenitori, configurazioni cloud e altro ancora.
Sebbene il software open source possa rappresentare la preoccupazione originaria della supply chain, lo spostamento verso lo sviluppo di applicazioni cloud-native preoccupa le organizzazioni per i rischi posti ad ulteriori nodi della loro supply chain. Infatti, il 73% delle organizzazioni ha riferito di aver “aumentato in modo significativo” gli sforzi di sicurezza della catena di fornitura del software in risposta ai recenti attacchi alla catena di fornitura.
Gli intervistati al sondaggio del rapporto hanno citato l'adozione di una qualche forma di tecnologia di autenticazione multifattore avanzata (33%), gli investimenti nei controlli di test di sicurezza delle applicazioni (32%) e il miglioramento dell'individuazione delle risorse per aggiornare l'inventario delle superfici di attacco della propria organizzazione (30%) come strumenti chiave di sicurezza. iniziative che stanno portando avanti in risposta agli attacchi alla catena di fornitura.
Il 42% degli intervistati ha citato le API come l'area più suscettibile agli attacchi nella propria organizzazione oggi. I repository di storage dei dati sono stati considerati più a rischio dal 34% e le immagini dei contenitori delle applicazioni sono state identificate come più sensibili dal XNUMX%.
Il rapporto mostra che la mancanza di gestione open source sta minacciando la compilazione della SBOM.
Dall'indagine è emerso che il 99% delle organizzazioni utilizza o prevede di utilizzare software open source entro i prossimi 12 mesi. Sebbene gli intervistati nutrano molte preoccupazioni riguardo alla manutenzione, alla sicurezza e all’affidabilità di questi progetti open source, la preoccupazione più citata riguarda la scala con cui l’open source viene sfruttato nello sviluppo di applicazioni. Il 75% delle organizzazioni che utilizzano l'open source ritiene che il codice della propria organizzazione sia, o sarà, composto fino al XNUMX% da open source. Il XNUMX% degli intervistati ha citato "avere un'alta percentuale di codice applicativo open source" come preoccupazione o sfida con il software open source.
Allo stesso modo, gli studi di Synopsys hanno trovato una correlazione tra la portata dell’utilizzo del software open source (OSS) e la presenza del rischio correlato. Con l’aumento della portata dell’utilizzo dell’OSS, aumenterà naturalmente anche la sua presenza nelle applicazioni. La pressione per migliorare la gestione del rischio della catena di fornitura del software ha messo in luce la situazione fattura del software compilazione dei materiali (SBOM). Ma con l’esplosione dell’utilizzo dell’OSS e la sua scarsa gestione, la compilazione della SBOM diventa un compito complesso e il 39% degli intervistati nello studio ESG ha indicato come una sfida l’utilizzo dell’OSS.
La gestione del rischio OSS è una priorità, ma alle organizzazioni manca una chiara definizione delle responsabilità.
L’indagine sottolinea la realtà che, mentre l’attenzione sulle patch open source a seguito di eventi recenti (come le vulnerabilità Log4Shell e Spring4Shell) ha comportato un aumento significativo delle attività di mitigazione del rischio OSS (il 73% di cui abbiamo parlato sopra), la parte responsabile di questi sforzi di mitigazione rimangono poco chiari.
Una netta maggioranza di Team DevOps considera la gestione OSS come parte del ruolo di sviluppatore, mentre la maggior parte dei team IT la considera una responsabilità del team di sicurezza. Ciò potrebbe spiegare perché le organizzazioni hanno lottato a lungo per applicare correttamente le patch OSS. Dal sondaggio è emerso che i team IT sono più preoccupati rispetto ai team di sicurezza (48% contro 34%) riguardo all'origine del codice OSS, il che riflette il ruolo che l'IT ha nella corretta manutenzione delle patch di vulnerabilità OSS. Confondendo ulteriormente le acque, gli intervistati IT e DevOps (49% e 40%) ritengono che l'identificazione delle vulnerabilità prima dell'implementazione sia una responsabilità del team di sicurezza.
L’abilitazione degli sviluppatori è in crescita, ma la mancanza di competenze in materia di sicurezza è problematica.
Lo “spostamento a sinistra” è stato un fattore chiave nell’attribuire le responsabilità della sicurezza allo sviluppatore. Questo cambiamento non è stato privo di sfide; sebbene il 68% degli intervistati abbia indicato l'abilitazione degli sviluppatori come una priorità assoluta nella propria organizzazione, solo il 34% degli intervistati sulla sicurezza si è effettivamente dichiarato sicuro che i team di sviluppo si assumano la responsabilità dei test di sicurezza.
Preoccupazioni come sovraccaricare i team di sviluppo con strumenti e responsabilità aggiuntivi, interrompere l’innovazione e la velocità e ottenere una supervisione sugli sforzi di sicurezza sembrano essere i maggiori ostacoli agli sforzi AppSec guidati dagli sviluppatori. La maggior parte degli intervistati di sicurezza e AppDev/DevOps (65% e 60%) dispone di policy che consentono agli sviluppatori di testare e correggere il proprio codice senza interazione con i team di sicurezza, e il 63% degli intervistati IT ha affermato che la propria organizzazione dispone di policy che richiedono il coinvolgimento degli sviluppatori squadre di sicurezza.
L'autore
Mike McGuire è un senior solution manager presso Synopsys, dove si concentra sulla gestione del rischio della catena di fornitura di software e open source. Dopo aver iniziato la sua carriera come ingegnere informatico, Mike è passato a ruoli di strategia di prodotto e di mercato, poiché gli piace interfacciarsi con gli acquirenti e gli utenti dei prodotti su cui lavora. Sfruttando diversi anni di esperienza nel settore del software, l'obiettivo principale di Mike è collegare i complessi problemi di AppSec del mercato con le soluzioni Synopsys per la creazione di software sicuro.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
