Ağustos 2022'de Kurumsal Strateji Grubu (ESG) “Çizgide Yürümek: GitOps ve Shift Left Security”, uygulama güvenliğinin mevcut durumunu inceleyen çok istemcili bir geliştirici güvenlik araştırması raporu. Raporun temel bulgusu, bulutta yerel uygulamalarda yazılım tedarik zinciri risklerinin yaygınlığıdır. Synopsys Software Integrity Group'un genel müdürü Jason Schmitt, bunu tekrarlayarak, "Kurumlar, bir yazılım tedarik zinciri güvenlik açığının veya ihlalinin yüksek profilli başlıklar aracılığıyla işleri üzerinde yaratabileceği potansiyel etki düzeyine tanık olurken, proaktif bir güvenlik stratejisi artık temel bir iş zorunluluğudur.”
Rapor, kuruluşların tedarik zincirinin sadece bağımlılıklardan daha fazlası olduğunu fark ettiğini gösteriyor. Geliştirme araçları/boru hatları, depolar, API'ler, kod olarak altyapı (IaC), kapsayıcılar, bulut yapılandırmaları ve daha fazlası.
Açık kaynaklı yazılım orijinal tedarik zinciri endişesi olsa da, bulutta yerel uygulama geliştirmeye geçiş, kuruluşları tedarik zincirlerinin ek düğümlerine yönelik riskler konusunda endişelendiriyor. Aslında kuruluşların %73'ü, son tedarik zinciri saldırılarına yanıt olarak yazılım tedarik zinciri güvenlik çabalarını "önemli ölçüde artırdıklarını" bildirdi.
Raporun anketine katılanlar, bir tür güçlü çok faktörlü kimlik doğrulama teknolojisinin benimsenmesini (%33), uygulama güvenliği test kontrollerine yapılan yatırımı (%32) ve kuruluşlarının saldırı yüzeyi envanterini (%30) güncellemek için gelişmiş varlık keşfini temel güvenlik olarak belirttiler. Tedarik zinciri saldırılarına yanıt olarak takip ettikleri girişimler.
Ankete katılanların yüzde kırk beşi, bugün kuruluşlarında saldırıya en açık alan olarak API'leri belirtti. Veri depolama havuzları %42 ile en fazla risk altında olarak kabul edildi ve uygulama kapsayıcı görüntüleri %34 ile en hassas olarak belirlendi.
Rapor, açık kaynak yönetimi eksikliğinin SBOM derlemesini tehdit ettiğini gösteriyor.
Anket, kuruluşların %99'unun önümüzdeki 12 ay içinde açık kaynaklı yazılım kullandığını veya kullanmayı planladığını ortaya koydu. Katılımcıların bu açık kaynak projelerinin bakımı, güvenliği ve güvenilirliği ile ilgili birçok endişesi olsa da, en çok belirtilen endişeleri, uygulama geliştirmede açık kaynaktan yararlanma ölçeğiyle ilgilidir. Açık kaynak kullanan kuruluşların yüzde 75'i, kuruluşlarının kodunun %XNUMX'e kadar açık kaynaktan oluştuğuna veya olacağına inanıyor. Ankete katılanların yüzde elli dördü, açık kaynaklı yazılımla ilgili endişe veya zorluk olarak “açık kaynak kodlu uygulama kodunun yüksek bir yüzdesine sahip” olduğunu belirtti.
Özet çalışmaları da benzer şekilde açık kaynaklı yazılım (OSS) kullanımının ölçeği ile ilgili riskin varlığı arasında bir ilişki bulmuştur. ÖSS kullanım ölçeği arttıkça uygulamalardaki varlığı da doğal olarak artacaktır. Yazılım tedarik zinciri risk yönetimini iyileştirme baskısı, yazılım faturası malzemelerin (SBOM) derlemesi. Ancak patlayan OSS kullanımı ve cansız OSS yönetimi ile SBOM derlemesi karmaşık bir görev haline geliyor ve ESG çalışmasında ankete katılanların %39'u OSS'yi kullanmanın bir zorluğu olarak görülüyor.
OSS risk yönetimi bir önceliktir, ancak kuruluşlar sorumlulukların net bir şekilde tanımlanmasından yoksundur.
Anket, son olayları (Log4Shell ve Spring4Shell güvenlik açıkları gibi) takip eden açık kaynak yamalarına odaklanmanın OSS risk azaltma faaliyetlerinde (yukarıda bahsettiğimiz %73) önemli bir artışa yol açtığı gerçeğine işaret ediyor. bu hafifletme çabaları belirsizliğini koruyor.
açık bir çoğunluk DevOps ekipleri OSS yönetimini geliştirici rolünün bir parçası olarak görürken, çoğu BT ekibi bunu bir güvenlik ekibi sorumluluğu olarak görür. Bu, kuruluşların OSS'yi düzgün bir şekilde yamalamak için neden uzun süredir mücadele ettiğini açıklayabilir. Anket, BT ekiplerinin OSS kodunun kaynağı konusunda güvenlik ekiplerinden daha fazla endişe duyduğunu (%48'e karşı %34) buldu. Suları daha da bulandıran BT ve DevOps katılımcıları (%49 ve %40), dağıtımdan önce güvenlik açıklarının belirlenmesini güvenlik ekibinin sorumluluğu olarak görüyor.
Geliştirici etkinleştirme artıyor, ancak güvenlik uzmanlığı eksikliği sorunlu.
"Sola kaydırmak", güvenlik sorumluluklarını geliştiriciye yüklemenin önemli bir itici gücü olmuştur. Bu değişim zorluklar olmadan olmamıştır; Katılımcıların %68'i geliştiricilerin etkinleştirilmesini kuruluşlarında yüksek bir öncelik olarak nitelendirmesine rağmen, güvenlikle ilgili yanıt verenlerin yalnızca %34'ü Geliştirme ekiplerinin güvenlik testi sorumluluğunu üstlenmesinden gerçekten emindi.
Geliştirme ekiplerine ek araçlar ve sorumluluklar yüklemek, yenilik ve hızı bozmak ve güvenlik çabalarında gözetim elde etmek gibi endişeler, geliştirici liderliğindeki AppSec çabalarının önündeki en büyük engeller gibi görünüyor. Güvenlik ve AppDev/DevOps katılımcılarının çoğunluğu (%65 ve %60), geliştiricilerin kodlarını güvenlik ekipleriyle etkileşime girmeden test etmelerine ve düzeltmelerine olanak tanıyan politikalara sahiptir ve BT katılımcılarının %63'ü, kuruluşlarının geliştiricilerin dahil etmesini gerektiren politikalara sahip olduğunu söyledi. güvenlik ekipleri.
Yazar Hakkında
Mike McGuire, açık kaynak ve yazılım tedarik zinciri risk yönetimine odaklandığı Synopsys'te kıdemli bir çözüm yöneticisidir. Kariyerine yazılım mühendisi olarak başladıktan sonra Mike, üzerinde çalıştığı ürünlerin alıcıları ve kullanıcıları ile etkileşim kurmaktan keyif aldığı için ürün ve pazar stratejisi rollerine geçiş yaptı. Yazılım endüstrisinde birkaç yıllık deneyimden yararlanan Mike'ın temel amacı, pazarın karmaşık AppSec sorunlarını Synopsys'in güvenli yazılım oluşturmaya yönelik çözümleriyle birleştirmektir.
