I august 2022 ga Enterprise Strategy Group (ESG) ut "Walking the Line: GitOps og Shift Left Security", en sikkerhetsrapport for multiklientutviklere som undersøker den nåværende tilstanden til applikasjonssikkerhet. Rapportens nøkkelfunn er utbredelsen av programvareforsyningskjederisiko i skybaserte applikasjoner. Jason Schmitt, daglig leder for Synopsys Software Integrity Group, gjentok dette og uttalte: "Når organisasjoner er vitne til nivået av potensiell innvirkning som en sikkerhetssårbarhet eller brudd på programvareforsyningskjeden kan ha på virksomheten deres gjennom høyprofilerte overskrifter, prioriteringen av en proaktiv sikkerhetsstrategi er nå et grunnleggende forretningskrav.»
Rapporten viser at organisasjoner innser at forsyningskjeden er mer enn bare avhengigheter. Det er utviklingsverktøy/pipelines, repos, APIer, infrastruktur-som-kode (IaC), containere, skykonfigurasjoner og mer.
Selv om åpen kildekode-programvare kan være den opprinnelige bekymringen i forsyningskjeden, har skiftet mot skybasert applikasjonsutvikling organisasjoner bekymret for risikoen som utgjøres av ytterligere noder i forsyningskjeden deres. Faktisk rapporterte 73 % av organisasjonene at de har "betraktelig økt" sin sikkerhetsinnsats for programvareforsyningskjeden som svar på nylige angrep i forsyningskjeden.
Respondenter på rapportens undersøkelse siterte bruken av en eller annen form for sterk multifaktorautentiseringsteknologi (33 %), investering i applikasjonssikkerhetstestingskontroller (32 %) og forbedret aktivaoppdagelse for å oppdatere organisasjonens angrepsoverflatebeholdning (30 %) som nøkkelsikkerhet initiativer de forfølger som svar på forsyningskjedeangrep.
42 prosent av respondentene nevnte APIer som det området som er mest utsatt for angrep i organisasjonen deres i dag. Datalagringslagre ble ansett som mest utsatt med 34 %, og applikasjonsbeholderbilder ble identifisert som mest utsatt av XNUMX %.
Rapporten viser at mangel på åpen kildekode-styring truer SBOM-samlingen.
Undersøkelsen fant at 99 % av organisasjonene enten bruker eller planlegger å bruke åpen kildekode i løpet av de neste 12 månedene. Mens respondentene har mange bekymringer angående vedlikeholdet, sikkerheten og påliteligheten til disse åpen kildekode-prosjektene, er deres mest siterte bekymring knyttet til omfanget som åpen kildekode blir utnyttet i innen applikasjonsutvikling. 75 prosent av organisasjoner som bruker åpen kildekode, tror at organisasjonens kode er – eller vil være – sammensatt av opptil XNUMX % åpen kildekode. Femtifire prosent av de spurte nevnte «å ha en høy prosentandel av applikasjonskoden som er åpen kildekode» som bekymring eller utfordring med åpen kildekode-programvare.
Synopsys-studier har også funnet en sammenheng mellom omfanget av bruk av åpen kildekode-programvare (OSS) og tilstedeværelsen av relatert risiko. Etter hvert som omfanget av OSS-bruk øker, vil dets tilstedeværelse i applikasjoner naturligvis også øke. Presset for å forbedre risikostyringen i programvareforsyningskjeden har satt søkelyset på programvareregning av materialer (SBOM) kompilering. Men med eksploderende OSS-bruk og mangelfull OSS-administrasjon, blir SBOM-kompilering en kompleks oppgave – og 39 % av respondentene i ESG-studien markerte som en utfordring ved bruk av OSS.
OSS risikostyring er en prioritet, men organisasjoner mangler en klar avgrensning av ansvar.
Undersøkelsen peker mot realiteten at selv om fokuset på patching med åpen kildekode etter nylige hendelser (som Log4Shell og Spring4Shell sårbarhetene) har resultert i en betydelig økning i OSS risikoreduserende aktiviteter (de 73 % vi nevnte ovenfor), er partiet ansvarlig for disse avbøtende tiltakene er fortsatt uklare.
Et klart flertall av DevOps-team se OSS-administrasjon som en del av utviklerrollen, mens de fleste IT-team ser på det som et sikkerhetsteamansvar. Dette kan godt forklare hvorfor organisasjoner lenge har slitt med å lappe OSS ordentlig. Undersøkelsen fant at IT-team er mer bekymret enn sikkerhetsteam (48 % vs. 34 %) for kilden til OSS-koden, som er en refleksjon over rollen IT har i å vedlikeholde OSS-sårbarhetsoppdateringer. IT- og DevOps-respondenter (med 49 % og 40 %) gjør vannet enda mer grumsete, og ser på identifisering av sårbarheter før distribusjon som sikkerhetsteamets ansvar.
Utvikleraktivering vokser, men mangel på sikkerhetsekspertise er problematisk.
"Skifting til venstre" har vært en nøkkeldriver for å skyve sikkerhetsansvar til utvikleren. Dette skiftet har ikke vært uten utfordringer; Selv om 68 % av respondentene nevnte utvikleraktivering som en høy prioritet i organisasjonen deres, følte bare 34 % av sikkerhetsrespondentene seg sikre på at utviklingsteam tok på seg ansvaret for sikkerhetstesting.
Bekymringer som å overbelaste utviklingsteam med ekstra verktøy og ansvar, forstyrre innovasjon og hastighet, og få tilsyn med sikkerhetsarbeid ser ut til å være de største hindringene for utviklerledet AppSec-innsats. Et flertall av sikkerhets- og AppDev/DevOps-respondentene (med 65 % og 60 %) har retningslinjer på plass som lar utviklere teste og fikse koden deres uten interaksjon med sikkerhetsteam, og 63 % av IT-respondentene sa at organisasjonen deres har retningslinjer som krever at utviklere involverer sikkerhetsteam.
om forfatteren
Mike McGuire er en senior løsningssjef hos Synopsys hvor han er fokusert på risikostyring med åpen kildekode og programvareforsyningskjede. Etter å ha startet sin karriere som programvareingeniør, gikk Mike over til produkt- og markedsstrategiroller, ettersom han liker å kommunisere med kjøpere og brukere av produktene han jobber med. Ved å utnytte flere års erfaring i programvareindustrien, er Mikes hovedmål å koble markedets komplekse AppSec-problemer med Synopsys sine løsninger for å bygge sikker programvare.
