I augusti 2022 släppte Enterprise Strategy Group (ESG) "Walking the Line: GitOps och Shift Left Security", en säkerhetsrapport för multiklientutvecklare som undersöker det nuvarande tillståndet för applikationssäkerhet. Rapportens nyckelresultat är förekomsten av risker för mjukvaruförsörjningskedjan i molnbaserade applikationer. Jason Schmitt, general manager för Synopsys Software Integrity Group, upprepade detta och sa: "När organisationer bevittnar nivån av potentiell påverkan som en säkerhetssårbarhet eller intrång i mjukvaruförsörjningskedjan kan ha på deras verksamhet genom högprofilerade rubriker, prioriteringen av en proaktiv säkerhetsstrategi är nu ett grundläggande affärsbehov."
Rapporten visar att organisationer inser att leveranskedjan är mer än bara beroenden. Det är utvecklingsverktyg/pipelines, repos, API:er, infrastruktur-som-kod (IaC), behållare, molnkonfigurationer och mer.
Även om mjukvara med öppen källkod kan vara den ursprungliga leveranskedjan, har övergången till molnbaserad applikationsutveckling organisationer oroade över riskerna för ytterligare noder i deras leveranskedja. Faktum är att 73 % av organisationerna rapporterade att de har "avsevärt ökat" sina säkerhetsansträngningar för mjukvaruförsörjningskedjan som svar på senaste attacker i försörjningskedjan.
De som svarade på rapportens undersökning hänvisade till antagandet av någon form av stark multifaktorautentiseringsteknik (33 %), investeringar i kontroller för applikationssäkerhetstestning (32 %) och förbättrad upptäckt av tillgångar för att uppdatera organisationens attackytor (30 %) som nyckelsäkerhet initiativ som de driver som svar på attacker i leveranskedjan.
Fyrtiofem procent av de tillfrågade nämnde API:er som det område som är mest mottagligt för attacker i deras organisation idag. Datalagringsförråd ansågs vara mest utsatta för 42 %, och applikationsbehållarebilder identifierades som mest mottagliga av 34 %.
Rapporten visar att bristen på öppen källkodshantering hotar SBOM-sammanställningen.
Undersökningen visade att 99 % av organisationerna antingen använder eller planerar att använda programvara med öppen källkod inom de närmaste 12 månaderna. Även om respondenterna har många farhågor angående underhållet, säkerheten och tillförlitligheten av dessa öppen källkodsprojekt, relaterar deras mest citerade oro till den skala som öppen källkod utnyttjas inom applikationsutveckling. Nittioen procent av organisationer som använder öppen källkod tror att deras organisations kod är – eller kommer att vara – sammansatt av upp till 75 % öppen källkod. Femtiofyra procent av de tillfrågade nämnde "att ha en hög andel programkod som är öppen källkod" som ett problem eller en utmaning med programvara med öppen källkod.
Synopsys-studier har också funnit ett samband mellan omfattningen av användning av öppen källkod (OSS) och förekomsten av relaterade risker. När omfattningen av OSS-användningen ökar, kommer dess närvaro i applikationer naturligtvis också att öka. Trycket för att förbättra riskhanteringen i mjukvaruförsörjningskedjan har satt fokus på mjukvaruräkning materialsammanställning (SBOM). Men med exploderande OSS-användning och svag OSS-hantering blir SBOM-sammanställning en komplex uppgift – och 39 % av de svarande i ESG-studien ansågs vara en utmaning att använda OSS.
OSS riskhantering är en prioritet, men organisationer saknar en tydlig avgränsning av ansvar.
Undersökningen pekar mot verkligheten att även om fokus på patchning med öppen källkod efter senaste händelser (som Log4Shell- och Spring4Shell-sårbarheterna) har resulterat i en betydande ökning av OSS-riskreducerande aktiviteter (de 73 % vi nämnde ovan), är den part som är ansvarig för dessa begränsningsinsatser är fortfarande oklara.
En klar majoritet av DevOps-team se OSS-hantering som en del av utvecklarrollen, medan de flesta IT-team ser det som ett säkerhetsteamansvar. Detta kan mycket väl förklara varför organisationer länge har kämpat för att rätta till OSS. Undersökningen visade att IT-team är mer bekymrade än säkerhetsteam (48 % mot 34 %) om källan till OSS-koden, vilket är en reflektion av den roll IT har för att korrekt underhålla OSS-sårbarhetskorrigeringar. Som lera vattnet ännu mer ser IT- och DevOps-respondenterna (49 % och 40 %) identifieringen av sårbarheter före implementering som säkerhetsteamets ansvar.
Möjligheten för utvecklare växer, men bristen på säkerhetsexpertis är problematisk.
"Skifta vänster" har varit en viktig drivkraft för att överföra säkerhetsansvaret till utvecklaren. Denna förändring har inte varit utan utmaningar; även om 68 % av de tillfrågade nämnde utvecklaraktivering som en hög prioritet i sin organisation, kände sig bara 34 % av säkerhetsrespondenterna faktiskt säkra på att utvecklingsteamen tog ansvar för säkerhetstestning.
Bekymmer som att överbelasta utvecklingsteam med ytterligare verktyg och ansvar, störa innovation och hastighet och få tillsyn över säkerhetsarbetet verkar vara de största hindren för utvecklarledda AppSec-insatser. En majoritet av säkerhets- och AppDev/DevOps-respondenterna (med 65 % och 60 %) har policyer på plats som tillåter utvecklare att testa och fixa sin kod utan interaktion med säkerhetsteam, och 63 % av IT-respondenterna sa att deras organisation har policyer som kräver att utvecklare involveras säkerhetsteam.
Om författaren
Mike McGuire är senior lösningschef på Synopsys där han är fokuserad på riskhantering med öppen källkod och mjukvaruförsörjningskedja. Efter att ha börjat sin karriär som mjukvaruingenjör övergick Mike till produkt- och marknadsstrategiroller, eftersom han tycker om att ha kontakt med köpare och användare av produkterna han arbetar med. Med hjälp av flera års erfarenhet inom mjukvarubranschen är Mikes huvudmål att koppla ihop marknadens komplexa AppSec-problem med Synopsys lösningar för att bygga säker mjukvara.
