2022年XNUMX月,企业战略集团(ESG)发布“走线:GitOps 和 Shift Left 安全性,”一份多客户端开发人员安全研究报告,检查应用程序安全的当前状态。 该报告的主要发现是云原生应用程序中软件供应链风险的普遍性。 Synopsys Software Integrity Group 总经理 Jason Schmitt 对此表示赞同,并表示:“由于组织正在目睹软件供应链安全漏洞或违规可能通过备受瞩目的头条新闻对其业务产生的潜在影响程度,因此优先考虑积极主动的安全策略现在是一项基本的业务需求。”
该报告显示,组织正在意识到供应链不仅仅是依赖关系。 它是开发工具/管道、存储库、API、基础设施即代码 (IaC)、容器、云配置等。
尽管开源软件可能是最初的供应链关注点,但向云原生应用程序开发的转变让组织担心对其供应链的其他节点构成的风险。 事实上,73% 的组织报告称,他们“显着增加”了软件供应链安全工作,以应对最近的供应链攻击。
报告调查的受访者将采用某种形式的强大的多因素身份验证技术 (33%)、对应用程序安全测试控制的投资 (32%) 以及改进资产发现以更新其组织的攻击面清单 (30%) 作为关键安全性他们为应对供应链攻击而采取的举措。
42% 的受访者将 API 列为当今组织中最容易受到攻击的领域。 34% 的人认为数据存储库风险最大,XNUMX% 的人认为应用程序容器映像最容易受到影响。
报告显示缺乏开源管理正在威胁 SBOM 编译.
调查发现,99% 的组织在未来 12 个月内使用或计划使用开源软件。 虽然受访者对这些开源项目的维护、安全性和可信赖性有很多担忧,但他们最关心的问题与在应用程序开发中利用开源的规模有关。 75% 的使用开源的组织认为他们组织的代码是或将是由多达 XNUMX% 的开源组成。 XNUMX% 的受访者将“拥有高比例的开源应用程序代码”列为对开源软件的担忧或挑战。
Synopsys 的研究同样发现了开源软件 (OSS) 使用规模与相关风险存在之间的相关性。 随着 OSS 使用规模的增加,它在应用程序中的存在自然也会增加。 改善软件供应链风险管理的压力已成为人们关注的焦点 软件账单 材料(SBOM)汇编。 但随着 OSS 使用量的爆炸式增长和 OSS 管理乏善可陈,SBOM 编译成为一项复杂的任务——在 ESG 研究中,39% 的受访者认为使用 OSS 是一项挑战。
OSS 风险管理是一个优先事项,但组织缺乏明确的职责划分。
调查指出了这样一个现实:尽管最近事件(例如 Log4Shell 和 Spring4Shell 漏洞)之后对开源补丁的关注导致 OSS 风险缓解活动显着增加(我们上面提到的 73%),但负责的一方这些缓解措施仍不清楚。
绝大多数 DevOps 团队 将 OSS 管理视为开发人员角色的一部分,而大多数 IT 团队将其视为安全团队的责任。 这可以很好地解释为什么组织长期以来一直在努力正确修补 OSS。 调查发现,IT 团队比安全团队更关心 OSS 代码的来源(48% 对 34%),这反映了 IT 在正确维护 OSS 漏洞补丁方面的作用。 更进一步,IT 和 DevOps 受访者(分别为 49% 和 40%)认为在部署之前识别漏洞是安全团队的责任。
开发人员的支持正在增长,但缺乏安全专业知识是个问题。
“左移”一直是将安全责任推给开发人员的关键驱动力。 这种转变并非没有挑战。 尽管 68% 的受访者将开发人员支持列为其组织的重中之重,但只有 34% 的安全受访者实际上对开发团队承担安全测试的责任充满信心。
诸如给开发团队增加额外工具和责任、破坏创新和速度以及获得对安全工作的监督等担忧似乎是开发人员主导的 AppSec 工作的最大障碍。 大多数安全和 AppDev/DevOps 受访者(分别为 65% 和 60%)制定了政策,允许开发人员在不与安全团队互动的情况下测试和修复他们的代码,63% 的 IT 受访者表示他们的组织有政策要求开发人员参与安全团队。
关于作者
Mike McGuire 是 Synopsys 的高级解决方案经理,他专注于开源和软件供应链风险管理。 在开始他的软件工程师职业生涯后,Mike 转而担任产品和市场战略角色,因为他喜欢与他所从事的产品的买家和用户交流。 凭借在软件行业多年的经验,Mike 的主要目标是将市场上复杂的 AppSec 问题与 Synopsys 构建安全软件的解决方案联系起来。
