Raportul evidențiază prevalența riscurilor lanțului de aprovizionare cu software

În august 2022, Enterprise Strategy Group (ESG) a lansat „Mergând pe linie: GitOps și Shift Left Security”, un raport de cercetare de securitate pentru dezvoltatori multiclient care examinează starea actuală a securității aplicațiilor. Constatarea cheie a raportului este prevalența riscurilor lanțului de aprovizionare cu software în aplicațiile native din cloud. Jason Schmitt, directorul general al Synopsys Software Integrity Group, a spus acest lucru, declarând: „În vreme ce organizațiile sunt martorii nivelului de impact potențial pe care o vulnerabilitate sau o încălcare a securității lanțului de aprovizionare cu software îl poate avea asupra afacerii lor prin titluri de mare profil, prioritizarea o strategie de securitate proactivă este acum un imperativ de bază al afacerii.”

Raportul arată că organizațiile realizează că lanțul de aprovizionare este mai mult decât dependențe. Sunt instrumente/conducte de dezvoltare, repoziții, API-uri, infrastructură-as-code (IaC), containere, configurații cloud și multe altele.

Deși software-ul open source poate fi preocuparea inițială a lanțului de aprovizionare, trecerea către dezvoltarea de aplicații native în cloud face ca organizațiile să fie preocupate de riscurile prezentate pentru nodurile suplimentare ale lanțului lor de aprovizionare. De fapt, 73% dintre organizații au raportat că și-au „mărit semnificativ” eforturile de securitate a lanțului de aprovizionare software ca răspuns la recentele atacuri ale lanțului de aprovizionare.

Respondenții la sondajul raportului au citat adoptarea unei forme puternice de tehnologie de autentificare multifactor (33%), investiția în controalele de testare a securității aplicațiilor (32%) și descoperirea îmbunătățită a activelor pentru a actualiza inventarul suprafeței de atac al organizației lor (30%) ca securitate cheie. inițiativele pe care le urmăresc ca răspuns la atacurile lanțului de aprovizionare.

Patruzeci și cinci la sută dintre respondenți au citat API-urile drept zona cea mai susceptibilă de a fi atacată în organizația lor astăzi. Arhivele de stocare a datelor au fost considerate cel mai expuse riscului de 42%, iar imaginile containerelor de aplicații au fost identificate ca fiind cele mai susceptibile de 34%.

Raportul arată că lipsa managementului open source amenință compilarea SBOM.

Sondajul a constatat că 99% dintre organizații fie utilizează sau plănuiesc să utilizeze software open source în următoarele 12 luni. În timp ce respondenții au multe preocupări cu privire la întreținerea, securitatea și încrederea acestor proiecte open source, preocuparea lor cea mai citată se referă la scara la care sursa deschisă este utilizată în dezvoltarea aplicațiilor. Nouăzeci și unu la sută dintre organizațiile care folosesc open source cred că codul organizației lor este – sau va fi – compus din până la 75% open source. Cincizeci și patru la sută dintre respondenți au citat „a avea un procent mare de cod de aplicație care este open source” drept îngrijorare sau provocare cu software-ul open source.

Studiile Synopsys au găsit, de asemenea, o corelație între amploarea utilizării software-ului cu sursă deschisă (OSS) și prezența riscului aferent. Pe măsură ce amploarea utilizării OSS crește, prezența acestuia în aplicații va crește în mod natural. Presiunea de a îmbunătăți gestionarea riscului lanțului de aprovizionare cu software a pus în atenție atenția factura de software compilarea materialelor (SBOM). Dar, odată cu utilizarea exploziei OSS și gestionarea slabă a OSS, compilarea SBOM devine o sarcină complexă - iar 39% dintre respondenții la sondaj în studiul ESG au fost marcați ca o provocare a utilizării OSS.

Managementul riscului OSS este o prioritate, dar organizațiilor le lipsește o delimitare clară a responsabilităților.

Sondajul indică realitatea că, deși concentrarea asupra corecțiilor open source în urma evenimentelor recente (cum ar fi vulnerabilitățile Log4Shell și Spring4Shell) a dus la o creștere semnificativă a activităților de atenuare a riscurilor OSS (cele 73% pe care le-am menționat mai sus), partea responsabilă pentru aceste eforturi de atenuare rămân neclare.

O majoritate clară a echipele DevOps văd managementul OSS ca parte a rolului de dezvoltator, în timp ce majoritatea echipelor IT îl consideră o responsabilitate a echipei de securitate. Acest lucru poate explica foarte bine de ce organizațiile s-au luptat mult timp pentru a corecta corect OSS. Sondajul a constatat că echipele IT sunt mai preocupate decât echipele de securitate (48% față de 34%) de sursa codului OSS, ceea ce reflectă rolul pe care îl are IT-ul în menținerea corectă a corecțiilor de vulnerabilitate OSS. Înnoroind și mai mult apele, respondenții IT și DevOps (la 49% și 40%) consideră identificarea vulnerabilităților înainte de implementare ca fiind responsabilitatea echipei de securitate.

Activarea dezvoltatorilor este în creștere, dar lipsa expertizei în materie de securitate este problematică.

„Schifting left” a fost un factor esențial al împingerii responsabilităților de securitate către dezvoltator. Această schimbare nu a fost lipsită de provocări; deși 68% dintre respondenți au numit activarea dezvoltatorilor drept o prioritate înaltă în organizația lor, doar 34% dintre respondenții în materie de securitate s-au simțit de fapt încrezători că echipele de dezvoltare își asumă responsabilitatea pentru testarea securității.

Preocupările precum supraîncărcarea echipelor de dezvoltare cu instrumente și responsabilități suplimentare, perturbarea inovației și a vitezei și obținerea supravegherii eforturilor de securitate par a fi cele mai mari obstacole în calea eforturilor AppSec conduse de dezvoltatori. Majoritatea respondenților de securitate și AppDev/DevOps (la 65% și 60%) au politici care le permit dezvoltatorilor să-și testeze și să-și repare codul fără a interacționa cu echipele de securitate, iar 63% dintre respondenții IT au spus că organizația lor are politici care le impun dezvoltatorilor să se implice echipe de securitate.

Despre autor

Mike McGuire este manager senior de soluții la Synopsys, unde se concentrează pe managementul riscului lanțului de aprovizionare software și sursă deschisă. După ce și-a început cariera ca inginer software, Mike a trecut în roluri de strategie de produs și de piață, deoarece îi place să interacționeze cu cumpărătorii și utilizatorii produselor la care lucrează. Folosind mai mulți ani de experiență în industria software, obiectivul principal al lui Mike este conectarea problemelor complexe AppSec ale pieței cu soluțiile Synopsys pentru construirea de software securizat.