2022년 XNUMX월 ESG(Enterprise Strategy Group)는 "선 걷기: GitOps 및 Shift Left Security,” 애플리케이션 보안의 현재 상태를 조사하는 다중 클라이언트 개발자 보안 연구 보고서입니다. 보고서의 주요 결과는 클라우드 네이티브 애플리케이션에서 소프트웨어 공급망 위험이 널리 퍼져 있다는 것입니다. Synopsys Software Integrity Group의 제너럴 매니저인 Jason Schmitt는 이렇게 말했습니다. 사전 예방적 보안 전략은 이제 기본적인 비즈니스 필수 요소입니다.”
이 보고서는 조직이 공급망이 단순한 종속성 이상이라는 것을 깨닫고 있음을 보여줍니다. 개발 도구/파이프라인, 리포지토리, API, 코드로서의 인프라(IaC), 컨테이너, 클라우드 구성 등입니다.
오픈 소스 소프트웨어가 원래 공급망 문제일 수 있지만 클라우드 네이티브 애플리케이션 개발로의 전환으로 인해 조직은 공급망의 추가 노드에 발생할 수 있는 위험에 대해 우려하고 있습니다. 실제로, 조직의 73%는 최근 공급망 공격에 대응하여 소프트웨어 공급망 보안 노력을 "상당히 증가"했다고 보고했습니다.
이 보고서의 설문조사 응답자는 강력한 다단계 인증 기술의 채택(33%), 애플리케이션 보안 테스트 제어에 대한 투자(32%), 조직의 공격 표면 인벤토리를 업데이트하기 위한 향상된 자산 검색(30%)을 핵심 보안으로 꼽았습니다. 공급망 공격에 대응하여 추진 중인 이니셔티브.
응답자의 42%는 오늘날 조직에서 가장 공격받기 쉬운 영역으로 API를 꼽았습니다. 데이터 스토리지 리포지토리는 34%가 가장 위험한 것으로 간주되었으며 애플리케이션 컨테이너 이미지는 XNUMX%가 가장 취약한 것으로 식별되었습니다.
보고서에 따르면 오픈 소스 관리의 부재가 SBOM 컴파일을 위협하고 있음을 보여줍니다..
설문 조사에 따르면 조직의 99%가 향후 12개월 이내에 오픈 소스 소프트웨어를 사용 중이거나 사용할 계획입니다. 응답자는 이러한 오픈 소스 프로젝트의 유지 관리, 보안 및 신뢰성에 대해 많은 우려를 갖고 있지만 가장 많이 인용된 우려는 애플리케이션 개발 내에서 오픈 소스가 활용되는 규모와 관련이 있습니다. 오픈 소스를 사용하는 조직의 75%는 조직의 코드가 최대 XNUMX%의 오픈 소스로 구성되어 있거나 앞으로도 그렇게 될 것이라고 믿습니다. XNUMX%의 응답자는 "오픈 소스인 애플리케이션 코드의 높은 비율을 갖는 것"을 오픈 소스 소프트웨어에 대한 우려 또는 도전 과제로 언급했습니다.
Synopsys 연구에서도 마찬가지로 오픈 소스 소프트웨어(OSS) 사용의 규모와 관련 위험의 존재 사이의 상관 관계를 발견했습니다. OSS 사용의 규모가 증가함에 따라 애플리케이션에서 OSS의 존재도 자연스럽게 증가할 것입니다. 소프트웨어 공급망 위험 관리를 개선해야 한다는 압력으로 인해 소프트웨어 청구서 재료(SBOM) 편집. 그러나 폭발적인 OSS 사용과 부족한 OSS 관리로 인해 SBOM 편집은 복잡한 작업이 되었으며 ESG 연구의 설문 응답자의 39%는 OSS 사용의 어려움으로 표시했습니다.
OSS 위험 관리가 우선 순위이지만 조직은 책임에 대한 명확한 설명이 부족합니다.
설문 조사는 최근 사건(Log4Shell 및 Spring4Shell 취약점과 같은) 이후에 오픈 소스 패치에 초점을 맞춘 결과 OSS 위험 완화 활동(위에서 언급한 73%)이 크게 증가했지만 책임이 있는 당사자는 현실을 지적합니다. 이러한 완화 노력은 불분명합니다.
의 명백한 다수 DevOps 팀 대부분의 IT 팀은 OSS 관리를 개발자 역할의 일부로 보는 반면, 대부분의 IT 팀은 이를 보안 팀 책임으로 봅니다. 이것은 조직이 OSS를 적절하게 패치하기 위해 오랫동안 애써온 이유를 잘 설명할 수 있습니다. 설문 조사에 따르면 IT 팀이 보안 팀(48% 대 34%)보다 OSS 코드 소스에 대해 더 우려하고 있는 것으로 나타났습니다. 이는 OSS 취약성 패치를 적절하게 유지 관리하는 데 IT가 담당하는 역할을 반영합니다. IT 및 DevOps 응답자(49% 및 40%)는 문제를 더욱 모호하게 하여 배포 전에 취약점을 식별하는 것이 보안 팀의 책임이라고 생각합니다.
개발자 지원이 증가하고 있지만 보안 전문 지식의 부족이 문제입니다.
"왼쪽으로 이동"은 개발자에게 보안 책임을 부과하는 핵심 동인이었습니다. 이러한 변화에 어려움이 없었던 것은 아닙니다. 응답자의 68%가 개발자 지원을 조직의 최우선 순위로 꼽았지만 보안 응답자의 34%만이 실제로 보안 테스트를 담당하는 개발 팀에 대해 확신을 갖고 있었습니다.
추가 도구 및 책임으로 개발 팀에 과중한 부담을 주고, 혁신과 속도를 방해하고, 보안 노력에 대한 감독을 얻는 것과 같은 우려는 개발자 주도 AppSec 노력에 가장 큰 장애물인 것 같습니다. 보안 및 AppDev/DevOps 응답자의 대다수(65% 및 60%)는 개발자가 보안 팀과 상호 작용하지 않고 코드를 테스트하고 수정할 수 있는 정책을 시행하고 있으며 IT 응답자의 63%는 조직에 개발자가 참여해야 하는 정책이 있다고 말했습니다. 보안 팀.
저자에 관하여
Mike McGuire는 Synopsys의 수석 솔루션 관리자로 오픈 소스 및 소프트웨어 공급망 위험 관리에 중점을 두고 있습니다. Mike는 소프트웨어 엔지니어로 경력을 시작한 후 자신이 작업하는 제품의 구매자 및 사용자와 소통하는 것을 즐기면서 제품 및 시장 전략 역할로 전환했습니다. 소프트웨어 업계에서 다년간의 경험을 활용하여 Mike의 주요 목표는 시장의 복잡한 AppSec 문제를 보안 소프트웨어 구축을 위한 Synopsys의 솔루션과 연결하는 것입니다.
