2022 年 XNUMX 月、Enterprise Strategy Group (ESG) は「ラインを歩く: GitOps とシフト レフト セキュリティ」は、アプリケーション セキュリティの現状を調査したマルチクライアント開発者向けセキュリティ調査レポートです。 レポートの主な調査結果は、クラウドネイティブ アプリケーションにおけるソフトウェア サプライ チェーンのリスクの蔓延です。 シノプシス ソフトウェア インテグリティ グループのゼネラル マネージャーであるジェイソン シュミットは、次のように述べています。プロアクティブなセキュリティ戦略は、今や基本的なビジネスの必須事項です。」
このレポートは、組織がサプライ チェーンが単なる依存関係以上のものであることを認識していることを示しています。 開発ツール/パイプライン、リポジトリ、API、コードとしてのインフラストラクチャ (IaC)、コンテナー、クラウド構成などです。
オープンソース ソフトウェアは当初のサプライ チェーンの懸念事項かもしれませんが、クラウドネイティブ アプリケーション開発への移行により、組織はサプライ チェーンの追加ノードにもたらされるリスクを懸念しています。 実際、組織の 73% が、最近のサプライ チェーン攻撃に対応して、ソフトウェア サプライ チェーンのセキュリティ対策を「大幅に強化した」と報告しています。
レポートの調査への回答者は、主要なセキュリティとして、強力な多要素認証テクノロジの採用 (33%)、アプリケーション セキュリティ テスト コントロールへの投資 (32%)、および組織の攻撃面のインベントリを更新するための資産検出の改善 (30%) を挙げました。サプライ チェーンへの攻撃に対応するために彼らが追求しているイニシアチブ。
回答者の 42% が、現在の組織で最も攻撃を受けやすい領域として API を挙げています。 データ ストレージ リポジトリは 34% によって最も危険にさらされていると見なされ、アプリケーション コンテナー イメージは XNUMX% によって最も影響を受けやすいと特定されました。
このレポートは、オープンソース管理の欠如が SBOM のコンパイルを脅かしていることを示しています.
この調査では、組織の 99% がオープン ソース ソフトウェアを使用しているか、今後 12 か月以内に使用する予定であることがわかりました。 回答者は、これらのオープン ソース プロジェクトの保守、セキュリティ、および信頼性に関して多くの懸念を抱いていますが、最も多く挙げられている懸念は、アプリケーション開発でオープン ソースが活用されている規模に関するものです。 オープン ソースを使用している組織の 75% は、組織のコードが最大 XNUMX% のオープン ソースで構成されている、または構成されると考えています。 回答者の XNUMX% が、オープン ソース ソフトウェアに関する懸念または課題として、「オープン ソースであるアプリケーション コードの割合が高いこと」を挙げました。
同様に、Synopsys の調査では、オープン ソース ソフトウェア (OSS) の使用の規模と、関連するリスクの存在との間に相関関係があることがわかりました。 OSS の利用規模が拡大すれば、アプリケーションでの存在感も自然と高まります。 ソフトウェア サプライ チェーンのリスク管理を改善する圧力が注目を集めています。 ソフトウェア請求書 資料 (SBOM) のコンパイル。 しかし、OSS の使用が爆発的に増加し、OSS の管理が精彩を欠いているため、SBOM のコンパイルは複雑な作業になり、ESG 調査の回答者の 39% が OSS の使用が課題であると回答しました。
OSS リスク管理は優先事項ですが、組織には責任の明確な線引きがありません。
この調査は、最近の出来事 (Log4Shell や Spring4Shell の脆弱性など) に続くオープンソースのパッチ適用に焦点を当てた結果、OSS リスク軽減活動が大幅に増加した (前述の 73%) という現実を指摘しています。これらの緩和の取り組みは不明のままです。
明らかに過半数 DevOpsチーム ほとんどの IT チームは、OSS 管理をセキュリティ チームの責任と見なしています。 これは、組織が OSS に適切にパッチを当てるのに長い間苦労してきた理由を十分に説明している可能性があります。 この調査では、IT チームはセキュリティ チームよりも (48% 対 34%) OSS コードのソースについて懸念していることがわかりました。これは、IT が OSS 脆弱性パッチを適切に維持する役割を果たしていることを反映しています。 IT と DevOps の回答者 (49% と 40%) は、展開前の脆弱性の特定はセキュリティ チームの責任であると考えています。
開発者の能力は向上していますが、セキュリティの専門知識の欠如が問題になっています。
「シフトレフト」は、セキュリティの責任を開発者に押し付ける主な要因となっています。 この変化には課題がなかったわけではありません。 回答者の 68% が、開発者の支援を組織の最優先事項として挙げていますが、開発チームがセキュリティ テストの責任を負うことに実際に自信を持っていると答えたセキュリティ回答者は 34% にすぎません。
追加のツールと責任で開発チームに過大な負担をかける、イノベーションと速度を混乱させる、セキュリティの取り組みを監視するなどの懸念は、開発者主導の AppSec の取り組みに対する最大の障害のようです。 セキュリティおよび AppDev/DevOps の回答者の過半数 (65% と 60%) は、開発者がセキュリティ チームとやり取りすることなくコードをテストおよび修正できるようにするポリシーを導入しており、IT 回答者の 63% は、組織が開発者の関与を要求するポリシーを持っていると述べています。セキュリティチーム。
著者について
Mike McGuire は Synopsys のシニア ソリューション マネージャーであり、オープン ソースとソフトウェア サプライ チェーンのリスク管理に重点を置いています。 ソフトウェア エンジニアとしてのキャリアをスタートさせた後、Mike は自分が取り組んでいる製品の購入者やユーザーとのやり取りを楽しんでいるため、製品および市場戦略の役割に移行しました。 ソフトウェア業界での数年間の経験を活かして、Mike の主な目的は、市場の複雑な AppSec 問題を、安全なソフトウェアを構築するためのシノプシスのソリューションと結びつけることです。
