رپورٹ میں سافٹ ویئر سپلائی چین کے خطرات کے پھیلاؤ کی جھلکیاں

ٹائم سٹیمپ: 7 ستمبر 2022 صبح 11:44 بجے

اگست 2022 میں، انٹرپرائز اسٹریٹجی گروپ (ESG) نے "لائن پر چلنا: گٹ اوپس اور لیفٹ سیکیورٹی شفٹ کریں۔"ایک ملٹی کلائنٹ ڈویلپر سیکیورٹی ریسرچ رپورٹ جو ایپلیکیشن سیکیورٹی کی موجودہ حالت کا جائزہ لے رہی ہے۔ رپورٹ کی کلیدی تلاش کلاؤڈ مقامی ایپلی کیشنز میں سافٹ ویئر سپلائی چین کے خطرات کا پھیلاؤ ہے۔ Synopsys Software Integrity Group کے جنرل مینیجر جیسن شمٹ نے اس بات کی بازگشت کرتے ہوئے کہا، "چونکہ تنظیمیں ممکنہ اثرات کی سطح کا مشاہدہ کر رہی ہیں جو کہ ایک سافٹ ویئر سپلائی چین سیکیورٹی کمزوری یا خلاف ورزی ان کے کاروبار پر ہائی پروفائل ہیڈلائنز کے ذریعے ہو سکتی ہے، اس کی ترجیح ایک فعال حفاظتی حکمت عملی اب ایک بنیادی کاروباری ضروری ہے۔

رپورٹ سے پتہ چلتا ہے کہ تنظیمیں یہ سمجھ رہی ہیں کہ سپلائی چین صرف انحصار سے زیادہ ہے۔ یہ ڈویلپمنٹ ٹولز/پائپ لائنز، ریپوز، APIs، انفراسٹرکچر کے طور پر کوڈ (IaC)، کنٹینرز، کلاؤڈ کنفیگریشنز، اور بہت کچھ ہے۔

اگرچہ اوپن سورس سافٹ ویئر اصل سپلائی چین کا مسئلہ ہو سکتا ہے، لیکن کلاؤڈ-نیٹیو ایپلیکیشن ڈویلپمنٹ کی طرف تبدیلی سے تنظیمیں اپنی سپلائی چین کے اضافی نوڈس کو لاحق خطرات کے بارے میں فکر مند ہیں۔ درحقیقت، 73% تنظیموں نے اطلاع دی ہے کہ انہوں نے حالیہ سپلائی چین حملوں کے جواب میں اپنی سافٹ ویئر سپلائی چین سیکیورٹی کی کوششوں میں "نمایاں اضافہ" کیا ہے۔

رپورٹ کے سروے کے جواب دہندگان نے مضبوط ملٹی فیکٹر تصدیقی ٹکنالوجی کی کچھ شکلوں کو اپنانے کا حوالہ دیا (33%)، ایپلیکیشن سیکیورٹی ٹیسٹنگ کنٹرولز میں سرمایہ کاری (32%)، اور اثاثہ کی دریافت کو بہتر بنانے کے لیے اپنی تنظیم کی اٹیک سطح کی انوینٹری (30%) کو کلیدی سیکیورٹی کے طور پر اپ ڈیٹ کیا۔ سپلائی چین حملوں کے جواب میں وہ اقدامات کر رہے ہیں۔

پینتالیس فیصد جواب دہندگان نے APIs کا حوالہ دیا کہ آج ان کی تنظیم میں حملے کے لیے سب سے زیادہ حساس ہے۔ ڈیٹا سٹوریج کے ذخیروں کو 42% تک سب سے زیادہ خطرہ سمجھا جاتا تھا، اور ایپلیکیشن کنٹینر کی تصاویر کو 34% کی طرف سے سب سے زیادہ حساس قرار دیا گیا تھا۔

رپورٹ سے پتہ چلتا ہے کہ اوپن سورس مینجمنٹ کی کمی SBOM کی تالیف کو خطرہ بنا رہی ہے۔.

سروے سے پتا چلا ہے کہ 99% تنظیمیں اگلے 12 ماہ کے اندر اوپن سورس سافٹ ویئر استعمال کرتی ہیں یا استعمال کرنے کا ارادہ رکھتی ہیں۔ اگرچہ جواب دہندگان کو ان اوپن سورس پروجیکٹس کی دیکھ بھال، حفاظت اور قابل اعتماد ہونے کے حوالے سے بہت سے خدشات ہیں، لیکن ان کی سب سے زیادہ تشویش کا تعلق اس پیمانے سے ہے جس پر ایپلیکیشن ڈیولپمنٹ میں اوپن سورس کا فائدہ اٹھایا جا رہا ہے۔ اوپن سورس استعمال کرنے والی اکانوے فیصد تنظیموں کا خیال ہے کہ ان کی تنظیم کا کوڈ ہے — یا ہو گا — 75% تک اوپن سورس پر مشتمل ہے۔ XNUMX فیصد جواب دہندگان نے اوپن سورس سافٹ ویئر کے ساتھ تشویش یا چیلنج کے طور پر "ایپلی کیشن کوڈ کا زیادہ فیصد ہونا جو اوپن سورس ہے" کا حوالہ دیا۔

Synopsys اسٹڈیز نے اسی طرح اوپن سورس سافٹ ویئر (OSS) کے استعمال کے پیمانے اور متعلقہ خطرے کی موجودگی کے درمیان تعلق پایا ہے۔ جیسے جیسے OSS کے استعمال کا پیمانہ بڑھتا جائے گا، ایپلی کیشنز میں اس کی موجودگی قدرتی طور پر بھی بڑھے گی۔ سوفٹ ویئر سپلائی چین رسک مینجمنٹ کو بہتر بنانے کے دباؤ نے ایک روشنی ڈالی ہے۔ سافٹ ویئر بل مواد کی تالیف (SBOM)۔ لیکن پھٹتے ہوئے OSS کے استعمال اور OSS کے کمزور انتظام کے ساتھ، SBOM کی تالیف ایک پیچیدہ کام بن جاتی ہے — اور ESG مطالعہ میں سروے کے 39% جواب دہندگان نے OSS کے استعمال کو ایک چیلنج کے طور پر نشان زد کیا۔

OSS رسک مینجمنٹ ایک ترجیح ہے، لیکن تنظیموں میں ذمہ داریوں کی واضح وضاحت کا فقدان ہے۔

سروے حقیقت کی طرف اشارہ کرتا ہے کہ حال ہی میں ہونے والے واقعات (جیسے Log4Shell اور Spring4Shell کے خطرات) کے بعد اوپن سورس پیچنگ پر توجہ مرکوز کرنے کے نتیجے میں OSS کے خطرے کو کم کرنے کی سرگرمیوں میں نمایاں اضافہ ہوا ہے (73% جن کا ہم نے اوپر ذکر کیا ہے)، پارٹی ذمہ دار ہے۔ یہ تخفیف کی کوششیں غیر واضح ہیں۔

کی واضح اکثریت DevOps ٹیمیں۔ OSS مینجمنٹ کو ڈویلپر کے کردار کے حصے کے طور پر دیکھیں، جبکہ زیادہ تر IT ٹیمیں اسے سیکیورٹی ٹیم کی ذمہ داری کے طور پر دیکھتی ہیں۔ یہ اچھی طرح سے وضاحت کر سکتا ہے کہ تنظیموں نے OSS کو مناسب طریقے سے پیچ کرنے کے لئے طویل عرصے سے جدوجہد کیوں کی ہے. سروے سے پتا چلا ہے کہ IT ٹیمیں OSS کوڈ کے ماخذ کے بارے میں سیکیورٹی ٹیموں (48% بمقابلہ 34%) سے زیادہ فکر مند ہیں، جو OSS کے خطرے کے پیچ کو صحیح طریقے سے برقرار رکھنے میں IT کے کردار کی عکاسی کرتی ہے۔ پانی کو مزید گدلا کرنا، IT اور DevOps کے جواب دہندگان (49% اور 40% پر) تعیناتی سے پہلے کمزوریوں کی شناخت کو سیکیورٹی ٹیم کی ذمہ داری کے طور پر دیکھتے ہیں۔

ڈیولپر کی اہلیت بڑھ رہی ہے، لیکن سیکیورٹی کی مہارت کی کمی پریشانی کا باعث ہے۔

"بائیں شفٹ کرنا" ڈیولپر کو سیکیورٹی کی ذمہ داریوں کو آگے بڑھانے کا ایک اہم محرک رہا ہے۔ یہ تبدیلی چیلنجوں کے بغیر نہیں رہی۔ اگرچہ 68% جواب دہندگان نے اپنی تنظیم میں ڈویلپر کی اہلیت کو اعلیٰ ترجیح قرار دیا، لیکن صرف 34% سیکورٹی جواب دہندگان نے دراصل ڈیولپمنٹ ٹیموں کی جانب سے سیکیورٹی ٹیسٹنگ کی ذمہ داری لینے پر اعتماد محسوس کیا۔

اضافی ٹولنگ اور ذمہ داریوں کے ساتھ ترقیاتی ٹیموں پر زیادہ بوجھ ڈالنا، جدت اور رفتار میں خلل ڈالنا، اور حفاظتی کوششوں کی نگرانی حاصل کرنا جیسے خدشات ڈویلپر کی قیادت میں AppSec کی کوششوں میں سب سے بڑی رکاوٹیں معلوم ہوتے ہیں۔ سیکیورٹی اور AppDev/DevOps جواب دہندگان کی اکثریت (65% اور 60%) کے پاس ایسی پالیسیاں ہیں جو ڈویلپرز کو سیکیورٹی ٹیموں کے ساتھ بات چیت کے بغیر اپنے کوڈ کو جانچنے اور درست کرنے کی اجازت دیتی ہیں، اور 63% IT جواب دہندگان نے کہا کہ ان کی تنظیم کے پاس ایسی پالیسیاں ہیں جن میں ڈویلپرز کو شامل کرنے کی ضرورت ہوتی ہے۔ سیکورٹی ٹیمیں.

مصنف کے بارے میں

headshot.png

Mike McGuire Synopsys میں ایک سینئر حل مینیجر ہے جہاں وہ اوپن سورس اور سافٹ ویئر سپلائی چین رسک مینجمنٹ پر توجہ مرکوز کرتا ہے۔ ایک سافٹ ویئر انجینئر کے طور پر اپنے کیریئر کا آغاز کرنے کے بعد، مائیک نے پروڈکٹ اور مارکیٹ کی حکمت عملی کے کرداروں میں تبدیلی کی، کیونکہ وہ ان پروڈکٹس کے خریداروں اور صارفین کے ساتھ بات چیت سے لطف اندوز ہوتا ہے جن پر وہ کام کرتا ہے۔ سافٹ ویئر انڈسٹری میں کئی سالوں کے تجربے سے فائدہ اٹھاتے ہوئے، مائیک کا بنیادی مقصد مارکیٹ کے پیچیدہ AppSec مسائل کو Synopsys کے محفوظ سافٹ ویئر بنانے کے حل کے ساتھ جوڑنا ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا