ในเดือนสิงหาคม 2022 Enterprise Strategy Group (ESG) ได้เปิดตัว “เดินสาย: GitOps และ Shift Left Security” รายงานการวิจัยด้านความปลอดภัยของนักพัฒนาซอฟต์แวร์หลายลูกค้าที่ตรวจสอบสถานะปัจจุบันของความปลอดภัยของแอปพลิเคชัน การค้นพบที่สำคัญของรายงานนี้คือความชุกของความเสี่ยงด้านซัพพลายเชนของซอฟต์แวร์ในแอปพลิเคชันแบบคลาวด์ Jason Schmitt ผู้จัดการทั่วไปของ Synopsys Software Integrity Group ย้ำว่า “ในขณะที่องค์กรต่างๆ ต่างมองเห็นถึงระดับของผลกระทบที่อาจเกิดขึ้นจากช่องโหว่หรือการละเมิดความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ที่มีต่อธุรกิจของพวกเขาผ่านพาดหัวข่าวที่มีรายละเอียดสูง การจัดลำดับความสำคัญของ กลยุทธ์การรักษาความปลอดภัยเชิงรุกได้กลายเป็นพื้นฐานที่จำเป็นสำหรับธุรกิจแล้ว”
รายงานแสดงให้เห็นว่าองค์กรต่าง ๆ ตระหนักดีว่าห่วงโซ่อุปทานเป็นมากกว่าการพึ่งพาอาศัยกัน มันคือเครื่องมือ/ไปป์ไลน์การพัฒนา, repos, API, โครงสร้างพื้นฐานเป็นโค้ด (IaC), คอนเทนเนอร์, การกำหนดค่าระบบคลาวด์ และอื่นๆ
แม้ว่าซอฟต์แวร์โอเพ่นซอร์สอาจเป็นข้อกังวลดั้งเดิมของห่วงโซ่อุปทาน แต่การเปลี่ยนแปลงไปสู่การพัฒนาแอปพลิเคชันบนระบบคลาวด์ทำให้องค์กรต่างๆ กังวลเกี่ยวกับความเสี่ยงที่จะเกิดกับโหนดเพิ่มเติมของห่วงโซ่อุปทานของตน ในความเป็นจริง 73% ขององค์กรรายงานว่าพวกเขาได้ "เพิ่มขึ้นอย่างมีนัยสำคัญ" ความพยายามในการรักษาความปลอดภัยห่วงโซ่อุปทานของซอฟต์แวร์เพื่อตอบสนองต่อการโจมตีห่วงโซ่อุปทานล่าสุด
ผู้ตอบแบบสำรวจของรายงานระบุว่าการนำเทคโนโลยีการตรวจสอบสิทธิ์แบบหลายปัจจัยมาใช้รูปแบบหนึ่ง (33%) การลงทุนในการควบคุมการทดสอบความปลอดภัยของแอปพลิเคชัน (32%) และปรับปรุงการค้นพบสินทรัพย์เพื่ออัปเดตพื้นที่การโจมตีขององค์กร (30%) เป็นความปลอดภัยหลัก ความคิดริเริ่มที่พวกเขากำลังดำเนินการเพื่อตอบสนองต่อการโจมตีของห่วงโซ่อุปทาน
สี่สิบห้าเปอร์เซ็นต์ของผู้ตอบแบบสอบถามอ้างว่า API เป็นพื้นที่ที่เสี่ยงต่อการโจมตีมากที่สุดในองค์กรของพวกเขาในปัจจุบัน ที่เก็บข้อมูลมีความเสี่ยงมากที่สุดถึง 42% และอิมเมจคอนเทนเนอร์ของแอปพลิเคชันถูกระบุว่ามีความเสี่ยงมากที่สุดถึง 34%
รายงานแสดงให้เห็นว่าการขาดการจัดการโอเพ่นซอร์สกำลังคุกคามการรวบรวม SBOM.
การสำรวจพบว่า 99% ขององค์กรใช้หรือวางแผนที่จะใช้ซอฟต์แวร์โอเพ่นซอร์สภายใน 12 เดือนข้างหน้า ในขณะที่ผู้ตอบแบบสอบถามมีข้อกังวลมากมายเกี่ยวกับการบำรุงรักษา การรักษาความปลอดภัย และความน่าเชื่อถือของโครงการโอเพนซอร์สเหล่านี้ ข้อกังวลที่กล่าวถึงมากที่สุดของพวกเขาเกี่ยวข้องกับขนาดที่โอเพนซอร์สถูกใช้ประโยชน์ในการพัฒนาแอปพลิเคชัน เก้าสิบเอ็ดเปอร์เซ็นต์ขององค์กรที่ใช้โอเพ่นซอร์สเชื่อว่าโค้ดขององค์กรนั้น — หรือจะ——ประกอบด้วยโอเพ่นซอร์สมากถึง 75% ห้าสิบสี่เปอร์เซ็นต์ของผู้ตอบแบบสอบถามอ้างว่า "มีเปอร์เซ็นต์ของรหัสแอปพลิเคชันที่เป็นโอเพ่นซอร์สสูง" เป็นข้อกังวลหรือท้าทายกับซอฟต์แวร์โอเพ่นซอร์ส
การศึกษา Synopsys ยังพบความสัมพันธ์ระหว่างขนาดของการใช้ซอฟต์แวร์โอเพ่นซอร์ส (OSS) กับการมีความเสี่ยงที่เกี่ยวข้อง เมื่อขนาดของการใช้ OSS เพิ่มขึ้น การมีอยู่ของ OSS ในแอปพลิเคชันก็จะเพิ่มขึ้นตามธรรมชาติเช่นกัน แรงกดดันในการปรับปรุงการจัดการความเสี่ยงในห่วงโซ่อุปทานของซอฟต์แวร์ได้ให้ความสำคัญกับ ค่าซอฟต์แวร์ ของการรวบรวมวัสดุ (SBOM) แต่ด้วยการใช้ OSS ที่เพิ่มมากขึ้นและการจัดการ OSS ที่ไม่สดใส การรวบรวม SBOM กลายเป็นงานที่ซับซ้อน — และ 39% ของผู้ตอบแบบสำรวจในการศึกษา ESG ถูกมองว่าเป็นความท้าทายในการใช้ OSS
การจัดการความเสี่ยง OSS มีความสำคัญ แต่องค์กรขาดความรับผิดชอบที่ชัดเจน
แบบสำรวจชี้ให้เห็นถึงความเป็นจริงว่าในขณะที่การมุ่งเน้นไปที่การแพตช์โอเพ่นซอร์สหลังจากเหตุการณ์ล่าสุด (เช่น ช่องโหว่ของ Log4Shell และ Spring4Shell) ส่งผลให้กิจกรรมการลดความเสี่ยง OSS เพิ่มขึ้นอย่างมีนัยสำคัญ (73% ที่เรากล่าวไว้ข้างต้น) ฝ่ายที่รับผิดชอบ ความพยายามในการบรรเทาผลกระทบเหล่านี้ยังไม่ชัดเจน
ส่วนใหญ่ที่ชัดเจนของ ทีม DevOps มองว่าการจัดการ OSS เป็นส่วนหนึ่งของบทบาทของนักพัฒนา ในขณะที่ทีมไอทีส่วนใหญ่มองว่าเป็นความรับผิดชอบของทีมรักษาความปลอดภัย สิ่งนี้อาจอธิบายได้อย่างดีว่าทำไมองค์กรต่างๆ จึงพยายามแก้ไข OSS อย่างเหมาะสมมาเป็นเวลานาน การสำรวจพบว่าทีมไอทีมีความกังวลมากกว่าทีมรักษาความปลอดภัย (48% เทียบกับ 34%) เกี่ยวกับแหล่งที่มาของโค้ด OSS ซึ่งสะท้อนถึงบทบาทที่ฝ่ายไอทีมีในการดูแลแพตช์ช่องโหว่ของ OSS อย่างเหมาะสม ผู้ตอบแบบสอบถามด้านไอทีและ DevOps (ที่ 49% และ 40%) มองว่าการตรวจหาช่องโหว่ก่อนนำไปใช้งานเป็นโคลนโคลนมากขึ้นไปอีก (ที่ XNUMX% และ XNUMX%) ถือเป็นความรับผิดชอบของทีมรักษาความปลอดภัย
ความสามารถในการรองรับนักพัฒนากำลังเพิ่มขึ้น แต่การขาดความเชี่ยวชาญด้านความปลอดภัยเป็นปัญหา
“การขยับไปทางซ้าย” เป็นปัจจัยสำคัญในการผลักดันความรับผิดชอบด้านความปลอดภัยให้กับนักพัฒนา การเปลี่ยนแปลงนี้ไม่ได้เกิดขึ้นโดยปราศจากความท้าทาย แม้ว่า 68% ของผู้ตอบแบบสำรวจระบุว่าการเปิดใช้งานของนักพัฒนามีความสำคัญสูงในองค์กร แต่จริง ๆ แล้วมีเพียง 34% ของผู้ตอบแบบสอบถามด้านความปลอดภัยเท่านั้นที่รู้สึกมั่นใจจริง ๆ ว่าทีมพัฒนารับผิดชอบการทดสอบความปลอดภัย
ความกังวลต่างๆ เช่น การเพิ่มภาระให้กับทีมพัฒนาที่มีเครื่องมือและความรับผิดชอบเพิ่มเติม การขัดขวางนวัตกรรมและความเร็ว และการได้รับการดูแลด้านความปลอดภัยดูเหมือนจะเป็นอุปสรรคที่ใหญ่ที่สุดต่อความพยายามของ AppSec ที่นำโดยนักพัฒนา การรักษาความปลอดภัยส่วนใหญ่และผู้ตอบแบบสำรวจ AppDev/DevOps (ที่ 65% และ 60%) มีนโยบายที่ช่วยให้นักพัฒนาสามารถทดสอบและแก้ไขโค้ดได้โดยไม่ต้องโต้ตอบกับทีมรักษาความปลอดภัย และ 63% ของผู้ตอบด้านไอทีกล่าวว่าองค์กรของตนมีนโยบายที่กำหนดให้นักพัฒนาต้องมีส่วนร่วม ทีมรักษาความปลอดภัย
เกี่ยวกับผู้เขียน
Mike McGuire เป็นผู้จัดการอาวุโสด้านโซลูชันที่ Synopsys ซึ่งเขามุ่งเน้นไปที่การจัดการความเสี่ยงของห่วงโซ่อุปทานแบบโอเพ่นซอร์สและซอฟต์แวร์ หลังจากเริ่มต้นอาชีพการเป็นวิศวกรซอฟต์แวร์ ไมค์ก็เปลี่ยนไปมีบทบาทด้านกลยุทธ์ด้านผลิตภัณฑ์และการตลาด เนื่องจากเขาสนุกกับการติดต่อกับผู้ซื้อและผู้ใช้ผลิตภัณฑ์ที่เขาทำงานอยู่ ด้วยประสบการณ์หลายปีในอุตสาหกรรมซอฟต์แวร์ วัตถุประสงค์หลักของ Mike คือการเชื่อมต่อปัญหา AppSec ที่ซับซ้อนของตลาดกับโซลูชันของ Synopsys สำหรับการสร้างซอฟต์แวร์ที่ปลอดภัย
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
