Отчет подчеркивает распространенность рисков цепочки поставок программного обеспечения

В августе 2022 года Enterprise Strategy Group (ESG) выпустила «Идя по линии: GitOps и Shift Left Security», отчет об исследовании безопасности для разработчиков с несколькими клиентами, в котором рассматривается текущее состояние безопасности приложений. Ключевым выводом отчета является распространенность рисков цепочки поставок программного обеспечения в облачных приложениях. Джейсон Шмитт, генеральный менеджер Synopsys Software Integrity Group, повторил это, заявив: «Поскольку организации становятся свидетелями уровня потенциального воздействия, которое уязвимость или нарушение безопасности цепочки поставок программного обеспечения может оказать на их бизнес через громкие заголовки, приоритетность проактивная стратегия безопасности теперь является основополагающим императивом бизнеса».

В отчете показано, что организации понимают, что цепочка поставок — это больше, чем просто зависимости. Это инструменты/конвейеры разработки, репозитории, API, инфраструктура как код (IaC), контейнеры, облачные конфигурации и многое другое.

Хотя программное обеспечение с открытым исходным кодом может быть первоначальной проблемой цепочки поставок, переход к разработке облачных приложений заставляет организации беспокоиться о рисках, связанных с дополнительными узлами их цепочки поставок. Фактически, 73% организаций сообщили, что они «значительно увеличили» свои усилия по обеспечению безопасности цепочки поставок программного обеспечения в ответ на недавние атаки на цепочку поставок.

Респонденты опроса в отчете упомянули о внедрении той или иной формы надежной технологии многофакторной аутентификации (33%), инвестициях в средства контроля тестирования безопасности приложений (32%) и улучшенном обнаружении активов для обновления инвентаризации поверхности атаки их организации (30%) в качестве ключевой безопасности. инициативы, которые они реализуют в ответ на атаки на цепочки поставок.

Сорок пять процентов респондентов назвали API наиболее подверженной атакам областью в их организации сегодня. Репозитории хранения данных были признаны наиболее подверженными риску 42%, а образы контейнеров приложений были признаны наиболее уязвимыми 34%.

В отчете показано, что отсутствие управления открытым исходным кодом угрожает компиляции SBOM..

Опрос показал, что 99% организаций либо используют, либо планируют использовать программное обеспечение с открытым исходным кодом в течение следующих 12 месяцев. В то время как у респондентов есть много опасений относительно обслуживания, безопасности и надежности этих проектов с открытым исходным кодом, их наиболее цитируемая озабоченность связана с масштабом, в котором открытый исходный код используется при разработке приложений. Девяносто один процент организаций, использующих открытый исходный код, считают, что код их организации на 75 % состоит или будет состоять из открытого исходного кода. Пятьдесят четыре процента респондентов указали на «большую часть кода приложений с открытым исходным кодом» как на проблему или проблему, связанную с программным обеспечением с открытым исходным кодом.

Исследования Synopsys также обнаружили корреляцию между масштабами использования программного обеспечения с открытым исходным кодом (OSS) и наличием соответствующего риска. По мере увеличения масштабов использования OSS, естественно, будет увеличиваться и его присутствие в приложениях. Стремление улучшить управление рисками в цепочке поставок программного обеспечения привлекло внимание к счет за программное обеспечение составление материалов (СБОМ). Но из-за резкого роста использования OSS и плохого управления OSS компиляция SBOM становится сложной задачей, и 39% респондентов в исследовании ESG назвали использование OSS проблемой.

Управление рисками OSS является приоритетом, но организациям не хватает четкого разграничения обязанностей.

Опрос указывает на тот факт, что, несмотря на то, что внимание к установке исправлений с открытым исходным кодом после недавних событий (таких как уязвимости Log4Shell и Spring4Shell) привело к значительному увеличению деятельности по снижению рисков OSS (упомянутые выше 73%), сторона, ответственная за эти усилия по смягчению последствий остаются неясными.

Явное большинство DevOps-команды рассматривать управление OSS как часть роли разработчика, в то время как большинство ИТ-команд рассматривают его как обязанность группы безопасности. Это вполне может объяснить, почему организации долгое время боролись за правильное исправление OSS. Опрос показал, что ИТ-отделы больше, чем специалисты по безопасности (48% против 34%), обеспокоены источником кода OSS, что отражает роль ИТ-отдела в надлежащем обновлении исправлений уязвимостей OSS. Еще больше запутав ситуацию, респонденты из сферы ИТ и DevOps (49% и 40%) считают выявление уязвимостей перед развертыванием обязанностью группы безопасности.

Возможности разработчиков расширяются, но проблематична нехватка специалистов по безопасности.

«Сдвиг влево» был ключевым фактором в возложении ответственности за безопасность на разработчика. Этот сдвиг не обошлось без проблем; хотя 68 % респондентов назвали поддержку разработчиков высокоприоритетной задачей в своей организации, только 34 % респондентов, отвечающих за безопасность, на самом деле были уверены, что команды разработчиков берут на себя ответственность за тестирование безопасности.

Такие проблемы, как перегрузка команд разработчиков дополнительными инструментами и обязанностями, нарушение инноваций и скорости, а также получение надзора за усилиями по обеспечению безопасности, по-видимому, являются самыми большими препятствиями для усилий разработчиков по обеспечению безопасности приложений. У большинства респондентов, отвечающих за безопасность и AppDev/DevOps (65 % и 60 %), действуют политики, позволяющие разработчикам тестировать и исправлять свой код без взаимодействия с командами безопасности, а 63 % респондентов из ИТ заявили, что в их организации действуют политики, требующие участия разработчиков. отряды безопасности.

Об авторе

Майк МакГуайр (Mike McGuire) — старший менеджер по решениям в Synopsys, специализирующийся на управлении рисками с открытым исходным кодом и цепочками поставок программного обеспечения. Начав свою карьеру в качестве инженера-программиста, Майк перешел на должности, связанные со стратегией продукта и рынка, поскольку ему нравится общаться с покупателями и пользователями продуктов, над которыми он работает. Благодаря многолетнему опыту работы в индустрии программного обеспечения, Майк поставил перед собой цель связать сложные рыночные проблемы AppSec с решениями Synopsys для создания безопасного программного обеспечения.