A Synopsis jelentése, amely az Enterprise Strategy Group (ESG) kutatásán alapul, azt mutatja, hogy a nagy visszhangot kiváltó beszállítói lánc elleni támadásokra válaszul a válaszadók 73 százaléka azt állítja, hogy jelentősen megnövelték erőfeszítéseiket a szervezetük szoftverellátási láncának biztonsága érdekében.
A megtett lépések közé tartozik a többfaktoros hitelesítési technológia valamilyen formájának bevezetése (33 százalék), az alkalmazásbiztonsági tesztelési ellenőrzésekbe való beruházás (32 százalék), valamint a szervezetük támadási felületének leltárát frissítő, javított eszközfeltárás (30 százalék). Ezen erőfeszítések ellenére a szervezetek 34 százaléka számolt be arról, hogy alkalmazásaikat az elmúlt 12 hónapban a nyílt forráskódú szoftverek valamely ismert sebezhetőségének köszönhetően támadták meg, 28 százalékuk pedig korábban ismeretlen, nyílt forráskódú szoftverekben talált nulladik napi sebezhetőség miatt szenvedett el támadást - számolt be a Beta News.
A szoftver-ellátási lánc kockázatkezelésének javítására irányuló nyomás a szoftver-anyagjegyzékekre (SBOM) irányította a figyelmet. A robbanásszerűen növekvő OSS-használat és a hiányos OSS-menedzsment azonban bonyolulttá tette a SBOM-ok összeállítását. Az ESG kutatása szerint a felmérésben részt vevők 39 százaléka jelölte meg ezt a feladatot az OSS használatának kihívásaként.
"Mivel a szervezetek a nagy visszhangot kiváltó címlapokon keresztül tapasztalják, hogy egy szoftverellátási lánc biztonsági sebezhetősége vagy megsértése milyen mértékű potenciális hatást gyakorolhat az üzletükre, a proaktív biztonsági stratégia előtérbe helyezése ma már alapvető üzleti követelmény" - mondta Jason Schmitt, a Synopsys Software Integrity Group vezérigazgatója. "Bár a nyílt forráskódú kockázatok kezelése kritikus eleme a felhőalapú alkalmazások szoftverellátási lánca kockázatkezelésének, azt is fel kell ismernünk, hogy a kockázat túlmutat a nyílt forráskódú komponenseken. Infrastructure-as-code, konténerek, API-k, kódtárolók és a lista hosszan folytatható. De mindegyiket figyelembe kell venni a szoftverellátási lánc biztonságának holisztikus megközelítése érdekében" - tette hozzá.
Az eredmények arra is utalnak, hogy bár a fejlesztőközpontú biztonság és a "balra tolódás" - egy olyan koncepció, amely arra összpontosít, hogy a fejlesztők a fejlesztési életciklus korábbi szakaszában végezhessék el a biztonsági tesztelést - egyre nagyobb teret nyer a felhő-natív alkalmazásokat építő szervezetek körében, a szervezetek 97 százaléka tapasztalt olyan biztonsági incidenst, amely a felhő-natív alkalmazásait érintette az elmúlt 12 hónapban.
A gyorsabb kiadási ciklusok szintén biztonsági kihívásokat jelentenek. Az alkalmazásfejlesztő (41 százalék) és DevOps (45 százalék) csapatok egyetértenek abban, hogy a fejlesztők gyakran kihagyják a kialakított biztonsági folyamatokat, míg az alkalmazásfejlesztők többsége (55 százalék) egyetért azzal, hogy a biztonsági csapatoknak nincs rálátásuk a fejlesztési folyamatokra - a BetaNews beszámolója szerint.