Em agosto de 2022, o Enterprise Strategy Group (ESG) lançou “Andando na linha: GitOps e Shift Left Security”, um relatório de pesquisa de segurança do desenvolvedor multicliente que examina o estado atual da segurança do aplicativo. A principal descoberta do relatório é a prevalência de riscos da cadeia de suprimentos de software em aplicativos nativos da nuvem. Jason Schmitt, gerente geral do Synopsys Software Integrity Group, ecoou isso, afirmando: “À medida que as organizações estão testemunhando o nível de impacto potencial que uma vulnerabilidade ou violação de segurança da cadeia de suprimentos de software pode ter em seus negócios por meio de manchetes de alto perfil, a priorização de uma estratégia de segurança proativa é agora um imperativo fundamental dos negócios.”
O relatório mostra que as organizações estão percebendo que a cadeia de suprimentos é mais do que apenas dependências. São ferramentas/pipelines de desenvolvimento, repositórios, APIs, infraestrutura como código (IaC), contêineres, configurações de nuvem e muito mais.
Embora o software de código aberto possa ser a preocupação original da cadeia de suprimentos, a mudança para o desenvolvimento de aplicativos nativos da nuvem deixou as organizações preocupadas com os riscos apresentados a nós adicionais de sua cadeia de suprimentos. De fato, 73% das organizações relataram que “aumentaram significativamente” seus esforços de segurança da cadeia de suprimentos de software em resposta a ataques recentes à cadeia de suprimentos.
Os entrevistados da pesquisa do relatório citaram a adoção de alguma forma de tecnologia de autenticação multifatorial forte (33%), investimento em controles de teste de segurança de aplicativos (32%) e descoberta aprimorada de ativos para atualizar o inventário de superfície de ataque de sua organização (30%) como segurança chave iniciativas que estão buscando em resposta a ataques à cadeia de suprimentos.
Quarenta e cinco por cento dos entrevistados citaram as APIs como a área mais suscetível a ataques em sua organização hoje. Os repositórios de armazenamento de dados foram considerados com maior risco em 42%, e as imagens de contêiner de aplicativos foram identificadas como mais suscetíveis em 34%.
O relatório mostra que a falta de gerenciamento de código aberto está ameaçando a compilação SBOM.
A pesquisa descobriu que 99% das organizações usam ou planejam usar software de código aberto nos próximos 12 meses. Embora os entrevistados tenham muitas preocupações em relação à manutenção, segurança e confiabilidade desses projetos de código aberto, sua preocupação mais citada está relacionada à escala em que o código aberto está sendo aproveitado no desenvolvimento de aplicativos. Noventa e um por cento das organizações que usam código aberto acreditam que o código de sua organização é — ou será — composto por até 75% de código aberto. Cinquenta e quatro por cento dos entrevistados citaram “ter uma alta porcentagem de código de aplicativo de código aberto” como preocupação ou desafio com software de código aberto.
Os estudos da Synopsys também encontraram uma correlação entre a escala de uso de software de código aberto (OSS) e a presença de risco relacionado. À medida que a escala de uso do OSS aumenta, sua presença em aplicativos também aumentará naturalmente. A pressão para melhorar o gerenciamento de risco da cadeia de suprimentos de software colocou em destaque conta de software compilação de materiais (SBOM). Mas com o uso explosivo de OSS e o gerenciamento sem brilho de OSS, a compilação de SBOM se torna uma tarefa complexa – e 39% dos entrevistados no estudo ESG apontaram como um desafio o uso de OSS.
O gerenciamento de riscos de OSS é uma prioridade, mas as organizações carecem de um delineamento claro de responsabilidades.
A pesquisa aponta para a realidade de que, embora o foco em patches de código aberto após eventos recentes (como as vulnerabilidades Log4Shell e Spring4Shell) tenha resultado em um aumento significativo nas atividades de mitigação de riscos de OSS (os 73% mencionados acima), a parte responsável por esses esforços de mitigação permanecem obscuros.
Uma clara maioria de Equipes de DevOps vê o gerenciamento de OSS como parte da função do desenvolvedor, enquanto a maioria das equipes de TI o vê como uma responsabilidade da equipe de segurança. Isso pode explicar por que as organizações há muito lutam para corrigir o OSS corretamente. A pesquisa descobriu que as equipes de TI estão mais preocupadas do que as equipes de segurança (48% vs. 34%) com a origem do código OSS, o que é um reflexo do papel que a TI tem na manutenção adequada dos patches de vulnerabilidade do OSS. Enlameando ainda mais as águas, os entrevistados de TI e DevOps (em 49% e 40%) veem a identificação de vulnerabilidades antes da implantação como responsabilidade da equipe de segurança.
A capacitação do desenvolvedor está crescendo, mas a falta de experiência em segurança é problemática.
“Mudar para a esquerda” tem sido um fator-chave para empurrar as responsabilidades de segurança para o desenvolvedor. Essa mudança não ocorreu sem desafios; embora 68% dos entrevistados tenham apontado a capacitação do desenvolvedor como uma alta prioridade em sua organização, apenas 34% dos entrevistados de segurança realmente se sentiram confiantes com as equipes de desenvolvimento assumindo a responsabilidade pelos testes de segurança.
Preocupações como sobrecarregar as equipes de desenvolvimento com ferramentas e responsabilidades adicionais, interromper a inovação e a velocidade e obter supervisão dos esforços de segurança parecem ser os maiores obstáculos aos esforços de AppSec liderados por desenvolvedores. A maioria dos entrevistados de segurança e AppDev/DevOps (em 65% e 60%) têm políticas em vigor permitindo que os desenvolvedores testem e corrijam seu código sem interação com as equipes de segurança, e 63% dos entrevistados de TI disseram que sua organização tem políticas que exigem que os desenvolvedores envolvam equipes de segurança.
Sobre o autor
Mike McGuire é gerente sênior de soluções da Synopsys, onde se concentra em gerenciamento de risco de cadeia de suprimentos de software e código aberto. Depois de iniciar sua carreira como engenheiro de software, Mike fez a transição para funções de estratégia de produto e mercado, pois gosta de interagir com os compradores e usuários dos produtos em que trabalha. Aproveitando vários anos de experiência na indústria de software, o principal objetivo de Mike é conectar os complexos problemas de AppSec do mercado com as soluções da Synopsys para a construção de software seguro.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
