Vào tháng 2022 năm XNUMX, Nhóm Chiến lược Doanh nghiệp (ESG) đã phát hành “Walking the Line: GitOps và Shift Left Security,” một báo cáo nghiên cứu bảo mật dành cho nhà phát triển đa khách hàng kiểm tra tình trạng bảo mật ứng dụng hiện tại. Phát hiện chính của báo cáo là mức độ phổ biến của rủi ro chuỗi cung ứng phần mềm trong các ứng dụng gốc đám mây. Jason Schmitt, tổng giám đốc của Nhóm Liêm chính Phần mềm Synopsys, lặp lại điều này, nêu rõ: “Khi các tổ chức đang chứng kiến mức độ tác động tiềm ẩn mà một lỗ hổng hoặc vi phạm bảo mật chuỗi cung ứng phần mềm có thể gây ra đối với hoạt động kinh doanh của họ thông qua các tiêu đề nổi bật, thì việc ưu tiên chiến lược bảo mật chủ động hiện là một mệnh lệnh kinh doanh nền tảng.”
Báo cáo cho thấy các tổ chức đang nhận ra rằng chuỗi cung ứng không chỉ phụ thuộc vào nhau. Đó là các công cụ/đường dẫn phát triển, kho lưu trữ, API, cơ sở hạ tầng dưới dạng mã (IaC), bộ chứa, cấu hình đám mây, v.v.
Mặc dù phần mềm nguồn mở có thể là mối quan tâm ban đầu của chuỗi cung ứng, nhưng việc chuyển sang phát triển ứng dụng dựa trên nền tảng đám mây khiến các tổ chức lo ngại về những rủi ro đặt ra đối với các nút bổ sung trong chuỗi cung ứng của họ. Trên thực tế, 73% tổ chức báo cáo rằng họ đã “tăng đáng kể” nỗ lực bảo mật chuỗi cung ứng phần mềm của mình để đối phó với các cuộc tấn công chuỗi cung ứng gần đây.
Những người trả lời khảo sát của báo cáo đã trích dẫn việc áp dụng một số dạng công nghệ xác thực đa yếu tố mạnh mẽ (33%), đầu tư vào kiểm soát kiểm tra bảo mật ứng dụng (32%) và cải thiện khả năng phát hiện tài sản để cập nhật kho lưu trữ bề mặt tấn công của tổ chức của họ (30%) làm bảo mật chính sáng kiến họ đang theo đuổi để đối phó với các cuộc tấn công chuỗi cung ứng.
42% số người được hỏi cho rằng API là lĩnh vực dễ bị tấn công nhất trong tổ chức của họ hiện nay. Các kho lưu trữ dữ liệu được coi là có rủi ro cao nhất với 34% và hình ảnh vùng chứa ứng dụng được xác định là dễ bị ảnh hưởng nhất tới XNUMX%.
Báo cáo cho thấy việc thiếu quản lý mã nguồn mở đang đe dọa quá trình biên dịch SBOM.
Cuộc khảo sát cho thấy 99% tổ chức sử dụng hoặc có kế hoạch sử dụng phần mềm nguồn mở trong vòng 12 tháng tới. Trong khi những người trả lời có nhiều lo ngại về việc duy trì, bảo mật và độ tin cậy của các dự án nguồn mở này, mối quan ngại được trích dẫn nhiều nhất của họ liên quan đến quy mô mà nguồn mở đang được tận dụng trong quá trình phát triển ứng dụng. Chín mươi mốt phần trăm các tổ chức sử dụng nguồn mở tin rằng mã của tổ chức của họ đang — hoặc sẽ — bao gồm tới 75% nguồn mở. XNUMX% số người được hỏi trích dẫn “có tỷ lệ cao mã ứng dụng là nguồn mở” là mối quan ngại hoặc thách thức đối với phần mềm nguồn mở.
Các nghiên cứu của Synopsys cũng đã tìm thấy mối tương quan giữa quy mô sử dụng phần mềm nguồn mở (OSS) và sự hiện diện của rủi ro liên quan. Khi quy mô sử dụng PMNM tăng lên, sự hiện diện của nó trong các ứng dụng cũng sẽ tăng lên một cách tự nhiên. Áp lực cải thiện quản lý rủi ro chuỗi cung ứng phần mềm đã đặt ra tiêu điểm hóa đơn phần mềm biên dịch vật liệu (SBOM). Nhưng với sự bùng nổ của việc sử dụng PMNM và quản lý PMNM mờ nhạt, việc biên dịch SBOM trở thành một nhiệm vụ phức tạp - và 39% người trả lời khảo sát trong nghiên cứu ESG đánh giá là một thách thức khi sử dụng PMNM.
Quản lý rủi ro PMNM là một ưu tiên, nhưng các tổ chức thiếu sự phân định rõ ràng về trách nhiệm.
Cuộc khảo sát chỉ ra một thực tế rằng trong khi việc tập trung vào các bản vá mã nguồn mở sau các sự kiện gần đây (chẳng hạn như lỗ hổng Log4Shell và Spring4Shell) đã dẫn đến sự gia tăng đáng kể các hoạt động giảm thiểu rủi ro OSS (73% mà chúng tôi đã đề cập ở trên), bên chịu trách nhiệm những nỗ lực giảm thiểu này vẫn chưa rõ ràng.
Đa số rõ ràng Nhóm DevOps xem việc quản lý OSS như một phần vai trò của nhà phát triển, trong khi hầu hết các nhóm CNTT coi đó là trách nhiệm của nhóm bảo mật. Điều này có thể giải thích rõ ràng tại sao các tổ chức từ lâu đã phải vật lộn để vá lỗi PMNM một cách thích hợp. Cuộc khảo sát cho thấy các nhóm CNTT quan tâm nhiều hơn các nhóm bảo mật (48% so với 34%) về nguồn mã OSS, điều này phản ánh vai trò của CNTT trong việc duy trì hợp lý các bản vá lỗ hổng OSS. Làm tình hình trở nên phức tạp hơn nữa, những người trả lời về CNTT và DevOps (ở mức 49% và 40%) coi việc xác định các lỗ hổng trước khi triển khai là trách nhiệm của nhóm bảo mật.
Khả năng hỗ trợ của nhà phát triển đang ngày càng phát triển, nhưng vấn đề thiếu chuyên môn về bảo mật là một vấn đề.
“Chuyển sang trái” là động lực chính thúc đẩy trách nhiệm bảo mật cho nhà phát triển. Sự thay đổi này không phải là không có thách thức; mặc dù 68% số người được hỏi coi việc hỗ trợ nhà phát triển là ưu tiên hàng đầu trong tổ chức của họ, nhưng chỉ 34% số người được hỏi về bảo mật thực sự cảm thấy tin tưởng khi các nhóm Phát triển đảm nhận trách nhiệm kiểm tra bảo mật.
Những lo lắng như quá tải về các nhóm phát triển với các công cụ và trách nhiệm bổ sung, làm gián đoạn sự đổi mới và tốc độ cũng như có được sự giám sát đối với các nỗ lực bảo mật dường như là những trở ngại lớn nhất đối với các nỗ lực của AppSec do nhà phát triển dẫn đầu. Phần lớn những người được hỏi về bảo mật và AppDev / DevOps (65% và 60%) có các chính sách cho phép các nhà phát triển kiểm tra và sửa mã của họ mà không cần tương tác với các nhóm bảo mật và 63% những người trả lời CNTT cho biết tổ chức của họ có các chính sách yêu cầu các nhà phát triển tham gia đội bảo vệ.
Lưu ý
Mike McGuire là giám đốc giải pháp cấp cao tại Synopsys, nơi ông tập trung vào quản lý rủi ro chuỗi cung ứng phần mềm và nguồn mở. Sau khi bắt đầu sự nghiệp của mình với tư cách là kỹ sư phần mềm, Mike chuyển sang vai trò chiến lược thị trường và sản phẩm vì anh ấy thích giao tiếp với người mua và người dùng các sản phẩm mà anh ấy làm việc. Tận dụng nhiều năm kinh nghiệm trong ngành phần mềm, mục tiêu chính của Mike là kết nối các vấn đề AppSec phức tạp của thị trường với các giải pháp của Synopsys để xây dựng phần mềm bảo mật.
