код-отменить всплеск

Согласно исследованию, 73% организаций значительно повысили безопасность цепочки поставок программного обеспечения.

Краткое описание редактора: Сегодня каждый бизнес работает на коде. Даже розничная или продуктовая точка сегодня имеет код для своих операций, включая управление запасами, кассу и приложения для приема заказов на планшетах. Принимая во внимание операции для различных отраслей, необходимо, чтобы программное обеспечение разрабатывалось, отлаживалось и развертывалось быстро, особенно для предприятий, где внешние заинтересованные стороны ожидают быстрых результатов. Итак, несмотря на то, что приложения разрабатываются довольно быстро, уверены ли мы, что риски кибербезопасности также в то же время удерживаются в страхе? Ведущая безопасность приложений Synopsys частично заказала новое исследование, проведенное Enterprise Security Group (ESG), которое проливает свет на то, как внедрение программного обеспечения с открытым исходным кодом (OSS) в бизнесе и что означает инфраструктура как код (IaC). Подробнее читайте ниже.

Сингапур – Synopsys, Inc (Nasdaq: SNPS) представила новое исследование, основанное на недавнем опросе 350 лиц, принимающих решения в области разработки приложений, информационных технологий и кибербезопасности. Исследование, проведенное Enterprise Strategy Group (ESG) и частично по заказу Synopsys Группа обеспечения целостности программного обеспечения, выделенный в «Идти по линии: GitOps и Shift Left Security: масштабируемые, ориентированные на разработчиков решения для обеспечения безопасности цепочки поставокЭлектронная книга показывает, что риск цепочки поставок программного обеспечения выходит за рамки открытого исходного кода.

В ответ на атаки на цепочки поставок программного обеспечения, такие как Log4Shell, SolarWinds и Kaseya, 73 % респондентов заявили, что они значительно активизировали свои усилия по обеспечению безопасности цепочек поставок программного обеспечения своих организаций с помощью различных инициатив по обеспечению безопасности. Эти инициативы включают в себя внедрение той или иной формы надежной технологии многофакторной аутентификации (33%), инвестиции в средства контроля тестирования безопасности приложений (32%) и улучшенное обнаружение активов для обновления инвентаризации поверхностей для атак своей организации (30%). Несмотря на эти усилия, 34% организаций сообщают, что их приложения были взломаны из-за известной уязвимости в программном обеспечении с открытым исходным кодом (OSS) в течение последних 12 месяцев, при этом 28% пострадали от ранее неизвестного эксплойта («нулевого дня»). в ПО с открытым исходным кодом.

По мере увеличения масштабов использования OSS, естественно, будет увеличиваться и его присутствие в приложениях. Текущее стремление улучшить управление рисками в цепочке поставок программного обеспечения привлекло внимание к ведомостям материалов (SBOM). Но резкое увеличение использования OSS и плохое управление OSS усложнили составление SBOM, что подтверждается исследованием ESG, которое показывает, что 39% респондентов отметили эту задачу как проблему использования OSS.

Загрузите бесплатную копию «Идти по линии: GitOps и Shift Left Security: масштабируемые, ориентированные на разработчиков решения для обеспечения безопасности цепочки поставок" электронная книга.

«Поскольку организации становятся свидетелями уровня потенциального воздействия, которое уязвимость или нарушение безопасности цепочки поставок программного обеспечения может оказать на их бизнес через громкие заголовки, определение приоритетов упреждающей стратегии безопасности теперь является основополагающим бизнес-императивом», — сказал Джейсон Шмитт, генеральный директор. менеджер Synopsys Группа целостности программного обеспечения. «Хотя управление рисками с открытым исходным кодом является критически важным компонентом управления рисками цепочки поставок программного обеспечения в облачных приложениях, мы также должны признать, что риск выходит за рамки компонентов с открытым исходным кодом. Инфраструктура как код, контейнеры, API, репозитории кода — список можно продолжать и продолжать, и все это необходимо учитывать, чтобы обеспечить целостный подход к безопасности цепочки поставок программного обеспечения».

В то время как программное обеспечение с открытым исходным кодом может быть первоначальной проблемой цепочки поставок, переход к разработке облачных приложений заставляет организации беспокоиться о рисках, связанных с дополнительными узлами их цепочки поставок. Это включает в себя не только дополнительные аспекты исходного кода, но и то, как облачные приложения хранятся, упаковываются и развертываются, а также то, как они взаимодействуют друг с другом через интерфейсы прикладного программирования (API). Почти половина (45%) респондентов определили API как вектор, наиболее уязвимый для атак, наряду с репозиториями хранения данных (42%) и образами контейнеров приложений (34%).

Почти все (99%) респондентов заявили, что их организации уже используют или планируют использовать OSS в течение следующих 12 месяцев. Хотя существуют проблемы с обслуживанием, безопасностью и надежностью этих проектов с открытым исходным кодом, главная проблема связана с масштабом, в котором открытый исходный код используется при разработке приложений. Пятьдесят четыре процента организаций называют «высокий процент кода приложений с открытым исходным кодом» своей основной задачей.

«С недавним президентским Исполнительный указ (14028) Чтобы улучшить кибербезопасность страны, существует значительный интерес к важности концепции, известной как спецификация программного обеспечения», — сказал Тим Макки, главный стратег по безопасности в Synopsys Центр исследований кибербезопасности. «По сути, SBOM позволяет операторам программного обеспечения знать, что сторонние производители программного обеспечения включили в свои приложения, будь то программное обеспечение с открытым исходным кодом, коммерческое или стороннее по контракту. Эти знания имеют решающее значение при разработке процесса управления исправлениями, поскольку без них будет неполное представление о программных рисках, присутствующих в любом приложении, независимо от их происхождения. Вооружившись этой информацией, как только появится следующая уязвимость нулевого дня масштабов Log4Shell (а она появится), ваша организация сможет действовать быстро и эффективно для защиты от атак, направленных на сторонние программные компоненты».

Результаты опроса также свидетельствуют о том, что, хотя безопасность, ориентированная на разработчиков, и «сдвиг влево» — концепция, позволяющая разработчикам проводить тестирование безопасности на более ранних этапах жизненного цикла разработки, — получают все большее распространение среди организаций, создающих облачные приложения, 97% организаций столкнулись с проблемой безопасности. инцидент с их облачными приложениями за последние 12 месяцев.

Более быстрые циклы выпуска также создают проблемы безопасности для всех команд. Команды разработки приложений (41%) и DevOps (45%) согласны с тем, что разработчики часто пропускают установленные процессы безопасности, в то время как большинство разработчиков приложений (55%) согласны с тем, что командам безопасности не хватает информации о процессах разработки. Шестьдесят восемь процентов респондентов указали, что они уделяют большое внимание внедрению решений безопасности, ориентированных на разработчиков, и перекладывают некоторые обязанности по обеспечению безопасности на разработчиков, хотя в настоящее время за тестирование безопасности приложений отвечает больше разработчиков (45%), чем специалистов по безопасности (40%). Эти разработчики в два раза чаще используют собственные инструменты безопасности или инструменты с открытым исходным кодом, чем специализированные решения сторонних поставщиков.

В то же время разработчики играют более важную роль в обеспечении безопасности цепочки поставок программного обеспечения для облачных приложений, но только 36% команд безопасности сообщили, что их устраивает, когда команды разработчиков берут на себя ответственность за тестирование. Такие проблемы, как перегрузка команд разработчиков дополнительными инструментами и обязанностями, подрыв инноваций и скорости, а также получение надзора за мерами безопасности, остаются самыми большими препятствиями для усилий разработчиков по обеспечению безопасности приложений.

Те, кто хочет узнать больше об исследовании, могут загрузить бесплатную копию «Идти по линии: GitOps и Shift Left Security: масштабируемые, ориентированные на разработчиков решения для обеспечения безопасности цепочки поставокЭлектронная книга или прочитайте наш пост в блоге с более глубоким пониманием результатов опроса.

Чтобы узнать больше о том, как Synopsys Software Integrity Group способна свести к минимуму риски безопасности, максимально увеличив скорость и производительность. Посетите: www.synopsys.com/software-integrity.html

###