באוגוסט 2022, קבוצת האסטרטגיה הארגונית (ESG) פרסמה את "Walking the Line: GitOps ואבטחת Shift Left"דוח מחקר אבטחה למפתחים מרובי לקוחות הבוחן את המצב הנוכחי של אבטחת יישומים. הממצא המרכזי של הדו"ח הוא השכיחות של סיכוני שרשרת אספקת התוכנה ביישומים מקוריים בענן. ג'ייסון שמיט, מנכ"ל קבוצת Synopsys Software Integrity Group, הדהד זאת, וקבע, "כאשר ארגונים עדים לרמת ההשפעה הפוטנציאלית של פגיעות אבטחה או פרצה של שרשרת אספקת תוכנה על העסק שלהם באמצעות כותרות בעלות פרופיל גבוה, תעדוף אסטרטגיית אבטחה פרואקטיבית היא כעת ציווי עסקי בסיסי."
הדו"ח מראה שארגונים מבינים ששרשרת האספקה היא יותר מסתם תלות. מדובר בכלי פיתוח/צינורות, ריפו, ממשקי API, תשתית כקוד (IaC), קונטיינרים, תצורות ענן ועוד.
למרות שתוכנת קוד פתוח עשויה להיות הדאגה המקורית של שרשרת האספקה, המעבר לפיתוח יישומים מקוריים בענן גורם לארגונים להיות מודאגים מהסיכונים הנשקפים לצמתים נוספים בשרשרת האספקה שלהם. למעשה, 73% מהארגונים דיווחו שהם "הגדילו באופן משמעותי" את מאמצי אבטחת שרשרת אספקת התוכנה שלהם בתגובה להתקפות שרשרת האספקה האחרונות.
המשיבים לסקר של הדו"ח ציינו את האימוץ של טכנולוגיית אימות רב-גורמי חזקה (33%), השקעה בבקרות בדיקות אבטחת יישומים (32%) ושיפור גילוי הנכסים כדי לעדכן את מלאי שטח ההתקפה של הארגון שלהם (30%) כאבטחת מפתח. יוזמות שהם נוקטים בתגובה להתקפות שרשרת האספקה.
42 אחוז מהמשיבים ציינו ממשקי API כאזור הרגיש ביותר להתקפות בארגון שלהם כיום. מאגרי אחסון נתונים נחשבו בסיכון הגבוה ביותר ב-34%, ותמונות מיכלי יישומים זוהו כרגישות ביותר ב-XNUMX%.
הדו"ח מראה שחוסר בניהול קוד פתוח מאיים על הידור SBOM.
הסקר מצא כי 99% מהארגונים משתמשים או מתכננים להשתמש בתוכנת קוד פתוח במהלך 12 החודשים הקרובים. בעוד שלמשיבים יש חששות רבים לגבי התחזוקה, האבטחה והאמינות של פרויקטי הקוד הפתוח הללו, הדאגה המצוטטת ביותר שלהם מתייחסת לקנה המידה שבו ממונף קוד פתוח בפיתוח יישומים. 75 אחוז מהארגונים המשתמשים בקוד פתוח מאמינים שהקוד של הארגון שלהם מורכב - או יהיה - מורכב מ-XNUMX% עד קוד פתוח. XNUMX אחוז מהמשיבים ציינו את "בעל אחוז גבוה של קוד יישומים שהוא קוד פתוח" כדאגה או אתגר עם תוכנת קוד פתוח.
מחקרים של Synopsys מצאו גם כן מתאם בין היקף השימוש בתוכנת קוד פתוח (OSS) לבין נוכחות של סיכון קשור. ככל שהיקף השימוש ב-OSS יגדל, נוכחותו באפליקציות תגדל גם באופן טבעי. הלחץ לשפר את ניהול הסיכונים בשרשרת האספקה הציב זרקור על חשבון תוכנה אוסף חומרים (SBOM). אבל עם שימוש מתפרץ ב-OSS וניהול OSS חסר ברק, הידור SBOM הופך למשימה מורכבת - ו-39% מהמשיבים בסקר במחקר ESG סימנו כאתגר של שימוש ב-OSS.
ניהול סיכונים OSS הוא בראש סדר העדיפויות, אך לארגונים אין תיחום ברור של אחריות.
הסקר מצביע על המציאות שבעוד שההתמקדות בתיקון קוד פתוח בעקבות אירועים אחרונים (כגון פגיעות Log4Shell ו-Spring4Shell) הביאה לעלייה משמעותית בפעילויות הפחתת סיכון OSS (73% שהזכרנו לעיל), הגורם האחראי על מאמצי ההפחתה הללו עדיין לא ברורים.
רוב ברור של צוותי DevOps ראה את ניהול OSS כחלק מתפקיד המפתח, בעוד שרוב צוותי ה-IT רואים בכך אחריות של צוות אבטחה. זה עשוי להסביר היטב מדוע ארגונים נאבקו זמן רב כדי לתקן כראוי OSS. הסקר מצא שצוותי IT מודאגים יותר מצוותי אבטחה (48% לעומת 34%) מהמקור של קוד OSS, המהווה השתקפות על התפקיד שיש ל-IT בתחזוקה נכונה של תיקוני פגיעות OSS. משיבים בתחום ה-IT ו-DevOps (ב-49% ו-40%) רואים בזיהוי של נקודות תורפה לפני הפריסה באחריות צוות האבטחה.
הפעלת המפתחים הולכת וגדלה, אך חוסר מומחיות אבטחה הוא בעייתי.
"הזזה שמאלה" הייתה מניע מרכזי להעברת אחריות אבטחה למפתח. השינוי הזה לא היה חף מאתגרים; למרות ש-68% מהמשיבים ציינו את הפעלת המפתחים בעדיפות גבוהה בארגון שלהם, רק 34% מהמשיבים באבטחה באמת הרגישו בטוחים בכך שצוותי הפיתוח לוקחים על עצמם אחריות על בדיקות האבטחה.
חששות כמו העמסת יתר על צוותי פיתוח עם כלים ואחריות נוספים, שיבוש חדשנות ומהירות, וקבלת פיקוח על מאמצי אבטחה, נראה כמכשולים הגדולים ביותר למאמצי AppSec בהובלת מפתחים. לרוב המשיבים בתחום האבטחה וה-AppDev/DevOps (ב-65% ו-60%) יש מדיניות המאפשרת למפתחים לבדוק ולתקן את הקוד שלהם ללא אינטראקציה עם צוותי אבטחה, ו-63% מהמשיבים בתחום ה-IT אמרו לארגון שלהם יש מדיניות המחייבת את המפתחים לערב צוותי אבטחה.
על המחבר
מייק מקגווייר הוא מנהל פתרונות בכיר בסינופסיס, שם הוא מתמקד בקוד פתוח ובניהול סיכונים בשרשרת אספקת התוכנה. לאחר שהחל את הקריירה שלו כמהנדס תוכנה, מייק עבר לתפקידי מוצר ואסטרטגיית שוק, כיוון שהוא נהנה להתממשקות עם הקונים והמשתמשים של המוצרים עליהם הוא עובד. תוך מינוף ניסיון של מספר שנים בתעשיית התוכנה, המטרה העיקרית של מייק היא לחבר את בעיות ה-AppSec המורכבות של השוק עם הפתרונות של Synopsys לבניית תוכנה מאובטחת.
