Poročilo poudarja razširjenost tveganj v dobavni verigi programske opreme

Avgusta 2022 je Enterprise Strategy Group (ESG) izdala “Hoja po črti: GitOps in Shift Left Security,« poročilo o varnostni raziskavi za večodjemalne razvijalce, ki preučuje trenutno stanje varnosti aplikacij. Ključna ugotovitev poročila je razširjenost tveganj dobavne verige programske opreme v aplikacijah v oblaku. Jason Schmitt, generalni direktor skupine Synopsys Software Integrity Group, je to ponovil in izjavil: »Ker so organizacije priča stopnji potencialnega vpliva, ki ga lahko ima varnostna ranljivost dobavne verige programske opreme ali kršitev na njihovo poslovanje prek odmevnih naslovov, je prednostna naloga proaktivna varnostna strategija je zdaj temeljni poslovni imperativ.«

Poročilo kaže, da se organizacije zavedajo, da je dobavna veriga več kot le odvisnost. To so razvojna orodja/cevovodi, skladišča, API-ji, infrastruktura kot koda (IaC), vsebniki, konfiguracije oblaka in drugo.

Čeprav je odprtokodna programska oprema lahko izvorna skrb dobavne verige, je premik k razvoju aplikacij, ki je izviren iz oblaka, povzročil zaskrbljenost organizacij zaradi tveganj, ki jih predstavljajo dodatna vozlišča njihove dobavne verige. Pravzaprav je 73 % organizacij poročalo, da so "znatno povečale" svoja prizadevanja za varnost dobavne verige programske opreme kot odziv na nedavne napade na dobavno verigo.

Anketiranci v raziskavi poročila so kot ključno varnost navedli sprejetje neke oblike močne tehnologije večfaktorske avtentikacije (33 %), naložbe v kontrole testiranja varnosti aplikacij (32 %) in izboljšano odkrivanje sredstev za posodobitev inventarja napadalne površine njihove organizacije (30 %). pobude, ki jih izvajajo kot odgovor na napade v dobavni verigi.

Petinštirideset odstotkov vprašanih je API-je navedlo kot področje, ki je danes v njihovi organizaciji najbolj dovzetno za napade. Repozitoriji za shranjevanje podatkov so bili najbolj ogroženi za 42 %, slike vsebnikov aplikacij pa za najbolj dovzetne za 34 %.

Poročilo kaže, da pomanjkanje odprtokodnega upravljanja ogroža kompilacijo SBOM.

Raziskava je pokazala, da 99 % organizacij uporablja ali načrtuje uporabo odprtokodne programske opreme v naslednjih 12 mesecih. Medtem ko imajo anketiranci veliko pomislekov glede vzdrževanja, varnosti in zanesljivosti teh odprtokodnih projektov, se njihova največkrat omenjena zaskrbljenost nanaša na obseg, v katerem se odprta koda uporablja pri razvoju aplikacij. Enaindevetdeset odstotkov organizacij, ki uporabljajo odprto kodo, verjame, da je koda njihove organizacije – ali bo – sestavljena iz do 75 % odprtokodne kode. Štiriinpetdeset odstotkov vprašanih je navedlo »visok odstotek odprtokodne aplikacijske kode« kot skrb ali izziv pri odprtokodni programski opremi.

Študije Synopsys so prav tako odkrile povezavo med obsegom uporabe odprtokodne programske opreme (OSS) in prisotnostjo s tem povezanega tveganja. Z naraščanjem obsega uporabe OSS se bo seveda povečala tudi njegova prisotnost v aplikacijah. Pritisk za izboljšanje obvladovanja tveganj v dobavni verigi programske opreme je v središču pozornosti račun za programsko opremo gradiva (SBOM). Toda z eksplozivno naraščajočo uporabo OSS in nejasnim upravljanjem OSS postane kompilacija SBOM kompleksna naloga – in 39 % anketirancev v študiji ESG je uporabo OSS označilo kot izziv.

Obvladovanje tveganj OSS je prednostna naloga, vendar organizacije nimajo jasne razmejitve odgovornosti.

Raziskava kaže na resničnost, da medtem ko je osredotočenost na odprtokodne popravke po nedavnih dogodkih (kot sta ranljivosti Log4Shell in Spring4Shell) povzročila znatno povečanje dejavnosti za zmanjšanje tveganja OSS (73 %, ki smo jih omenili zgoraj), je stranka, odgovorna za ta prizadevanja za ublažitev ostajajo nejasna.

Jasna večina DevOps ekipe na upravljanje OSS gledajo kot na del vloge razvijalca, medtem ko večina IT ekip na to gleda kot na odgovornost varnostne ekipe. To lahko dobro pojasni, zakaj so se organizacije dolgo trudile pravilno popraviti OSS. Raziskava je pokazala, da so ekipe IT bolj zaskrbljene kot varnostne ekipe (48 % v primerjavi s 34 %) glede vira kode OSS, kar je odraz vloge, ki jo ima IT pri pravilnem vzdrževanju popravkov ranljivosti OSS. Anketiranci IT in DevOps (49 % in 40 %) menijo, da je odkrivanje ranljivosti pred uvedbo odgovornost varnostne ekipe, kar še bolj zamegli vodo.

Možnosti razvijalcev se povečujejo, vendar je pomanjkanje strokovnega znanja o varnosti problematično.

»Premik v levo« je bil ključno gonilo prenašanja varnostnih odgovornosti na razvijalca. Ta premik ni bil brez izzivov; čeprav je 68 % anketirancev navedlo omogočanje razvijalcev kot visoko prednostno nalogo v njihovi organizaciji, je le 34 % vprašanih glede varnosti dejansko prepričanih, da razvojne ekipe prevzemajo odgovornost za testiranje varnosti.

Zdi se, da so pomisleki, kot je preobremenitev razvojnih skupin z dodatnimi orodji in odgovornostmi, motnje inovacij in hitrosti ter pridobitev nadzora nad varnostnimi prizadevanji, največje ovire za prizadevanja AppSec, ki jih vodijo razvijalci. Večina anketirancev na področju varnosti in AppDev/DevOps (65 % in 60 %) ima vzpostavljene politike, ki razvijalcem omogočajo testiranje in popravljanje kode brez interakcije z varnostnimi ekipami, 63 % anketirancev IT pa je dejalo, da ima njihova organizacija politike, ki od razvijalcev zahtevajo vključitev varnostne ekipe.

O Author

Mike McGuire je višji vodja rešitev pri Synopsys, kjer se osredotoča na upravljanje tveganja odprtokodne in dobavne verige programske opreme. Po začetku svoje kariere kot programski inženir je Mike prestopil v vloge produktne in tržne strategije, saj uživa v stiku s kupci in uporabniki izdelkov, na katerih dela. Mikeov glavni cilj, ki izkorišča večletne izkušnje v industriji programske opreme, je povezati zapletene težave trga AppSec s Synopsysovimi rešitvami za izdelavo varne programske opreme.