In augustus 2022 bracht de Enterprise Strategy Group (ESG) uit โWandelen langs de lijn: GitOps en Shift Left Securityโ, een multi-client beveiligingsonderzoeksrapport voor ontwikkelaars waarin de huidige staat van applicatiebeveiliging wordt onderzocht. De belangrijkste bevinding van het rapport is de prevalentie van software supply chain-risico's in cloud-native applicaties. Jason Schmitt, algemeen directeur van de Synopsys Software Integrity Group, herhaalde dit en verklaarde: "Omdat organisaties getuige zijn van de mate van potentiรซle impact die een kwetsbaarheid of inbreuk op de beveiliging van de softwaretoeleveringsketen op hun bedrijf kan hebben door middel van spraakmakende krantenkoppen, is de prioritering van een proactieve beveiligingsstrategie is nu een fundamentele zakelijke noodzaak.โ
Het rapport laat zien dat organisaties zich realiseren dat de supply chain meer is dan alleen afhankelijkheden. Het zijn ontwikkeltools/pijplijnen, repo's, API's, infrastructuur-als-code (IaC), containers, cloudconfiguraties en meer.
Hoewel open source software het oorspronkelijke probleem van de toeleveringsketen kan zijn, maakt de verschuiving naar cloud-native applicatie-ontwikkeling organisaties zich zorgen over de risico's voor extra knooppunten van hun toeleveringsketen. In feite meldde 73% van de organisaties dat ze hun inspanningen op het gebied van de beveiliging van de toeleveringsketen van software "aanzienlijk hebben verhoogd" als reactie op recente aanvallen op de toeleveringsketen.
Respondenten op de enquรชte van het rapport noemden de toepassing van een of andere vorm van krachtige multifactor-authenticatietechnologie (33%), investeringen in controles voor het testen van applicatiebeveiliging (32%) en verbeterde detectie van activa om de inventaris van het aanvalsoppervlak van hun organisatie bij te werken (30%) als sleutelbeveiliging initiatieven die ze nemen als reactie op aanvallen op de toeleveringsketen.
Vijfenveertig procent van de respondenten noemde API's momenteel het meest vatbaar voor aanvallen in hun organisatie. Opslagplaatsen voor gegevensopslag werden door 42% als het meest risicovol beschouwd, en applicatiecontainer-images werden door 34% als het meest kwetsbaar beschouwd.
Uit het rapport blijkt dat een gebrek aan open source-beheer de SBOM-compilatie bedreigt.
Uit het onderzoek bleek dat 99% van de organisaties open source software gebruikt of van plan is om binnen de komende 12 maanden gebruik te maken van open source software. Hoewel respondenten veel zorgen hebben over het onderhoud, de beveiliging en de betrouwbaarheid van deze open source-projecten, heeft hun meest geciteerde bezorgdheid betrekking op de schaal waarop open source wordt gebruikt binnen de ontwikkeling van applicaties. Eenennegentig procent van de organisaties die open source gebruiken, is van mening dat de code van hun organisatie voor maximaal 75% uit open source bestaat of zal bestaan. Vierenvijftig procent van de respondenten noemde "het hebben van een hoog percentage applicatiecode die open source is" als een probleem of uitdaging met open source software.
Synopsys-onderzoeken hebben eveneens een correlatie gevonden tussen de omvang van het gebruik van open source software (OSS) en de aanwezigheid van gerelateerd risico. Naarmate de schaal van OSS-gebruik toeneemt, zal de aanwezigheid ervan in applicaties natuurlijk ook toenemen. De druk om het risicobeheer van de softwaretoeleveringsketen te verbeteren, heeft de aandacht gevestigd op software factuur van materialen (SBOM) compilatie. Maar met het exploderende OSS-gebruik en het matte OSS-beheer, wordt het compileren van SBOM een complexe taak - en 39% van de respondenten in het ESG-onderzoek noemde het een uitdaging om OSS te gebruiken.
OSS-risicobeheer is een prioriteit, maar organisaties missen een duidelijke afbakening van verantwoordelijkheden.
Het onderzoek wijst op de realiteit dat hoewel de focus op open source-patching na recente gebeurtenissen (zoals de Log4Shell- en Spring4Shell-kwetsbaarheden) heeft geleid tot een aanzienlijke toename van OSS-risicobeperkingsactiviteiten (de 73% die we hierboven noemden), de partij die verantwoordelijk is voor deze mitigatie-inspanningen blijft onduidelijk.
Een duidelijke meerderheid van DevOps-teams beschouw OSS-beheer als onderdeel van de rol van de ontwikkelaar, terwijl de meeste IT-teams het zien als een verantwoordelijkheid van het beveiligingsteam. Dit zou goed kunnen verklaren waarom organisaties al lang moeite hebben om OSS correct te patchen. Uit het onderzoek bleek dat IT-teams zich meer zorgen maken dan beveiligingsteams (48% versus 34%) over de bron van OSS-code, wat een weerspiegeling is van de rol die IT speelt bij het correct onderhouden van OSS-kwetsbaarheidspatches. IT- en DevOps-respondenten (met 49% en 40%) zien de identificatie van kwetsbaarheden vรณรณr implementatie als de verantwoordelijkheid van het beveiligingsteam.
Het inschakelen van ontwikkelaars groeit, maar het gebrek aan beveiligingsexpertise is problematisch.
"Shifting left" is een belangrijke drijfveer geweest om beveiligingsverantwoordelijkheden naar de ontwikkelaar te verplaatsen. Deze verschuiving is niet zonder uitdagingen geweest; hoewel 68% van de respondenten het inschakelen van ontwikkelaars als een hoge prioriteit in hun organisatie noemde, had slechts 34% van de beveiligingsrespondenten er echt vertrouwen in dat ontwikkelingsteams de verantwoordelijkheid voor het testen van de beveiliging op zich zouden nemen.
Zorgen als het overbelasten van ontwikkelteams met extra tools en verantwoordelijkheden, het verstoren van innovatie en snelheid en het verkrijgen van toezicht op beveiligingsinspanningen lijken de grootste obstakels te zijn voor door ontwikkelaars geleide AppSec-inspanningen. Een meerderheid van de security- en AppDev/DevOps-respondenten (met 65% en 60%) heeft een beleid waarmee ontwikkelaars hun code kunnen testen en repareren zonder interactie met beveiligingsteams, en 63% van de IT-respondenten zei dat hun organisatie beleid heeft dat ontwikkelaars vereist veiligheidsteams.
Over de auteur
Mike McGuire is senior solutions manager bij Synopsys, waar hij zich richt op open source en software supply chain-risicobeheer. Nadat hij zijn carriรจre als software-engineer was begonnen, stapte Mike over naar functies op het gebied van product- en marktstrategie, omdat hij graag contact heeft met de kopers en gebruikers van de producten waaraan hij werkt. Door gebruik te maken van meerdere jaren ervaring in de software-industrie, is Mike's belangrijkste doel het verbinden van de complexe AppSec-problemen in de markt met de oplossingen van Synopsys voor het bouwen van veilige software.
