kode-unsplash

73% organisasi telah secara signifikan meningkatkan keamanan rantai pasokan perangkat lunak menurut penelitian

Ringkasan editor: Setiap bisnis saat ini berjalan dengan kode. Bahkan gerai ritel atau makanan saat ini memiliki kode di balik operasinya, termasuk kontrol inventaris, kasir, dan aplikasi pengambilan pesanan di tablet. Mempertimbangkan operasi untuk beragam industri, ada kebutuhan perangkat lunak untuk dikembangkan, di-debug, dan disebarkan dengan cepat, terutama untuk bisnis di mana pemangku kepentingan eksternal mengharapkan hasil yang cepat. Jadi, meskipun aplikasi dikembangkan dengan cukup cepat, apakah kami yakin bahwa risiko keamanan siber juga dapat dicegah secara bersamaan? Keamanan aplikasi terkemuka Synopsys menugaskan sebagian studi baru yang dilakukan oleh Enterprise Security Group (ESG), yang menyoroti bagaimana adopsi perangkat lunak sumber terbuka (OSS) dalam bisnis dan apa artinya Infrastruktur sebagai Kode (IaC). Baca lebih lanjut di bawah ini.

Singapura - Synopsys, Inc (Nasdaq: SNPS) hari ini mengungkapkan penelitian baru berdasarkan survei terbaru terhadap 350 pembuat keputusan pengembangan aplikasi, teknologi informasi, dan keamanan siber. Penelitian, yang dilakukan oleh Enterprise Strategy Group (ESG) dan ditugaskan sebagian oleh Synopsys Grup Integritas Perangkat Lunak, disorot dalam “Berjalan di Garis: GitOps dan Shift Left Security: Solusi Keamanan Rantai Pasokan yang Dapat Diskalakan dan Berpusat pada Pengembang” eBook menunjukkan bahwa risiko rantai pasokan perangkat lunak melampaui sumber terbuka.

Menanggapi serangan rantai pasokan perangkat lunak seperti Log4Shell, SolarWinds, dan Kaseya, 73% responden mengatakan bahwa mereka telah meningkatkan upaya mereka secara signifikan untuk mengamankan rantai pasokan perangkat lunak organisasi mereka melalui berbagai inisiatif keamanan. Inisiatif ini mencakup adopsi beberapa bentuk teknologi otentikasi multifaktor yang kuat (33%), investasi dalam kontrol pengujian keamanan aplikasi (32%), dan penemuan aset yang ditingkatkan untuk memperbarui inventaris permukaan serangan organisasi mereka (30%). Terlepas dari upaya tersebut, 34% organisasi melaporkan bahwa aplikasi mereka telah dieksploitasi karena kerentanan yang diketahui dalam perangkat lunak sumber terbuka (OSS) dalam 12 bulan terakhir, dengan 28% telah mengalami eksploitasi (“zero-day”) yang sebelumnya tidak diketahui. dalam perangkat lunak sumber terbuka.

Seiring dengan meningkatnya skala penggunaan OSS, kehadirannya dalam aplikasi juga akan meningkat secara alami. Tekanan saat ini untuk meningkatkan manajemen risiko rantai pasokan perangkat lunak telah menyoroti perangkat lunak Bills of Materials (SBOMs). Namun penggunaan OSS yang meledak dan manajemen OSS yang lesu telah membuat kompilasi SBOM menjadi kompleks—sebagaimana ditegaskan dalam penelitian ESG, yang menunjukkan bahwa 39% responden survei menandai tugas ini sebagai tantangan dalam menggunakan OSS.

Unduh salinan gratis dari “Berjalan di Garis: GitOps dan Shift Left Security: Solusi Keamanan Rantai Pasokan yang Dapat Diskalakan dan Berpusat pada Pengembang” eBuku.

“Ketika organisasi menyaksikan tingkat dampak potensial yang dapat ditimbulkan oleh kerentanan atau pelanggaran keamanan rantai pasokan perangkat lunak pada bisnis mereka melalui tajuk utama profil tinggi, prioritas strategi keamanan proaktif sekarang menjadi keharusan bisnis yang mendasar,” kata Jason Schmitt, General manajer dari Synopsys Grup Integritas Perangkat Lunak. “Sementara mengelola risiko open source adalah komponen penting dalam mengelola risiko rantai pasokan perangkat lunak dalam aplikasi cloud-native, kita juga harus menyadari bahwa risiko melampaui komponen open source. Infrastruktur sebagai kode, wadah, API, repositori kode—daftarnya terus bertambah dan semuanya harus diperhitungkan untuk memastikan pendekatan holistik terhadap keamanan rantai pasokan perangkat lunak.”

Sementara perangkat lunak open source mungkin menjadi perhatian rantai pasokan asli, pergeseran ke arah pengembangan aplikasi cloud-native membuat organisasi khawatir tentang risiko yang ditimbulkan pada node tambahan dari rantai pasokan mereka. Ini tidak hanya mencakup aspek tambahan dari kode sumber, tetapi juga bagaimana aplikasi cloud-native disimpan, dikemas, dan disebarkan, serta bagaimana mereka berinteraksi satu sama lain melalui antarmuka pemrograman aplikasi (API). Hampir setengah (45%) responden survei mengidentifikasi API sebagai vektor yang paling rentan terhadap serangan, bersama dengan repositori penyimpanan data (42%) dan gambar wadah aplikasi (34%).

Hampir semua (99%) responden mengatakan organisasi mereka saat ini menggunakan, atau berencana untuk menggunakan, OSS dalam 12 bulan ke depan. Sementara kekhawatiran ada dengan pemeliharaan, keamanan, dan kepercayaan proyek sumber terbuka ini, perhatian utama berkaitan dengan skala di mana sumber terbuka dimanfaatkan dalam pengembangan aplikasi. Lima puluh empat persen daftar organisasi "memiliki persentase tinggi dari kode aplikasi yang open source" sebagai perhatian utama mereka.

“Dengan Presiden AS baru-baru ini Perintah Eksekutif (14028) untuk meningkatkan keamanan siber nasional, ada minat yang signifikan seputar pentingnya konsep yang dikenal sebagai Bill of Materials perangkat lunak,” kata Tim Mackey, ahli strategi keamanan utama dalam Synopsys Pusat Penelitian Keamanan Siber. “Secara efektif, SBOM memungkinkan operator perangkat lunak mengetahui produsen perangkat lunak pihak ketiga apa yang disertakan dalam aplikasi mereka, apakah itu dari sumber terbuka, komersial, atau pihak ketiga yang dikontrak. Pengetahuan ini sangat penting ketika merancang proses manajemen tambalan, karena tanpanya ada pandangan yang tidak lengkap tentang risiko perangkat lunak yang ada dalam aplikasi apa pun—terlepas dari asalnya. Berbekal informasi ini, begitu kerentanan zero-day berikutnya dari proporsi Log4Shell muncul (dan itu akan terjadi), organisasi Anda akan dapat bertindak cepat dan efektif untuk bertahan melawan serangan yang menargetkan komponen perangkat lunak pihak ketiga.”

Temuan survei juga menunjukkan bahwa meskipun keamanan yang berfokus pada pengembang dan "pergeseran ke kiri"—sebuah konsep yang berfokus pada memungkinkan pengembang untuk melakukan pengujian keamanan lebih awal dalam siklus hidup pengembangan—tumbuh di antara organisasi yang membangun aplikasi cloud-native, 97% organisasi telah mengalami keamanan insiden yang melibatkan aplikasi cloud-native mereka dalam 12 bulan terakhir.

Siklus rilis yang lebih cepat juga menghadirkan tantangan keamanan untuk semua tim. Tim pengembangan aplikasi (41%) dan DevOps (45%) setuju bahwa pengembang sering melewatkan proses keamanan yang telah ditetapkan, sementara sebagian besar pengembang aplikasi (55%) setuju bahwa tim keamanan tidak memiliki visibilitas ke dalam proses pengembangan. Enam puluh delapan persen responden menunjukkan bahwa mereka sangat memprioritaskan mengadopsi solusi keamanan yang berfokus pada pengembang dan mengalihkan beberapa tanggung jawab keamanan kepada pengembang, meskipun lebih banyak pengembang (45%) saat ini bertanggung jawab untuk pengujian keamanan aplikasi daripada tim keamanan (40%). Pengembang ini dua kali lebih mungkin untuk menggunakan alat keamanan yang dikembangkan secara internal atau open source daripada solusi vendor pihak ketiga khusus.

Pada saat yang sama, pengembang memainkan peran yang lebih besar dalam mengamankan rantai pasokan perangkat lunak aplikasi cloud-native, namun hanya 36% tim keamanan yang melaporkan merasa nyaman dengan tim pengembangan yang bertanggung jawab untuk pengujian. Kekhawatiran seperti membebani tim pengembangan dengan alat dan tanggung jawab tambahan, mengganggu inovasi dan kecepatan, dan mendapatkan pengawasan seputar upaya keamanan tetap menjadi hambatan terbesar bagi upaya keamanan aplikasi yang dipimpin pengembang.

Mereka yang tertarik untuk mempelajari lebih lanjut tentang penelitian ini dapat mengunduh salinan gratis dari “Berjalan di Garis: GitOps dan Shift Left Security: Solusi Keamanan Rantai Pasokan yang Dapat Diskalakan dan Berpusat pada Pengembang” eBuku atau baca posting blog kami dengan wawasan yang lebih mendalam tentang temuan survei.

Untuk mempelajari lebih lanjut tentang caranya Synopsys Software Integrity Group mampu meminimalkan risiko keamanan sekaligus memaksimalkan kecepatan dan produktivitas, kunjungi: www.synopsys.com/software-integrity.html

# # #