ТОЛЬКО потому, что компонент, который вы добавляете в свое приложение, является безопасным сегодня, не означает, что приложение будет безопасным и завтра.
Во многом это связано со сложностью цепочки поставок программного обеспечения: сочетанием проприетарного и открытого исходного кода, API и пользовательских интерфейсов, поведением приложений и рабочими процессами развертывания, которые используются при создании программных приложений.
Для предприятий, разрабатывающих программное обеспечение, проблемы с безопасностью в любой точке этой цепочки в любое время могут подвергнуть риску вашу организацию и ваших клиентов. Как вы могли бы обеспечить безопасность вашей цепочки поставок программного обеспечения и доказать это?
Кодовая база, риск безопасности цепочки поставок
Недостаток в любой части цепочки поставок распространяется от места возникновения уязвимости или нарушения, иногда вплоть до конечного пользователя, и может иметь разрушительные последствия. Из-за своей сложности и связности цепочка поставок программного обеспечения представляет собой постоянно расширяющуюся поверхность атаки. Например, злоумышленники могут воспользоваться скомпрометированным программным обеспечением и частым обменом данными между сетями, чтобы получить привилегированный доступ к сетям и организациям. Это позволяет этим злоумышленникам обходить защиту периметра и выглядеть как законные пользователи или учетные записи, а оказавшись внутри — и с разрешениями — они могут нанести ущерб.
Знаете ли вы состав программного обеспечения в ваших приложениях, включая как открытый, так и проприетарный код? Знаете ли вы, какие компоненты и версии они используют? Программное обеспечение с открытым исходным кодом повсюду; это важнейший компонент любой современной разработки приложений. Наш анализ коммерческих кодовых баз в отчете Synopsys «Анализ безопасности и рисков с открытым исходным кодом» показывает, что почти все (98 процентов) кодовые базы содержат программное обеспечение с открытым исходным кодом. И это число составляет 100 процентов в энергетике и чистых технологиях, кибербезопасности, Интернете вещей, компьютерном оборудовании и полупроводниковой промышленности. В отчете также показано, что 81% кодовых баз содержат как минимум одну известную уязвимость с открытым исходным кодом.
В результате преобладания программного обеспечения с открытым исходным кодом цепочка поставок стала более сложной и неясной и включает в себя больше звеньев и зависимостей, чем когда-либо прежде. Единственный способ снизить риск — поддерживать видимость используемого программного обеспечения с открытым исходным кодом и устранять области риска по мере их выявления.
Кроме того, ваш проприетарный код написан разработчиками, которые, как правило, не имеют большого опыта или обучения в области безопасности. Как и в случае с программным обеспечением с открытым исходным кодом, риски проприетарного кода сложны, и их может быть трудно выявить даже опытным экспертам по безопасности. Однако эти уязвимости в вашем собственном коде могут служить точками входа для доступа к конфиденциальным данным и системам. Вот почему так важно защищать проприетарное программное обеспечение вместе со сторонним кодом в приложении.
Атаки на цепочку поставок программного обеспечения
Хакеры все чаще нацеливаются на цепочку поставок, потому что это высокая отдача от инвестиций. И поскольку хакеры получают то, что хотят, эти атаки становятся все более распространенными. Gartner прогнозирует, что к 2025 году 45% организаций во всем мире столкнутся с атаками на свою цепочку поставок программного обеспечения. А из-за зависимостей и связности недостатки и уязвимости в приложениях создают риск для организаций, которые находятся на расстоянии нескольких степеней от исходного вектора атаки.
Создание доверия с помощью программного обеспечения
Чтобы обезопасить цепочку поставок программного обеспечения и завоевать доверие клиентов и поставщиков, нужно использовать упреждающий подход к обеспечению безопасности цепочки поставок программного обеспечения с помощью спецификации программного обеспечения (SBOM). SBOM, часто создаваемый инструментом анализа состава программного обеспечения, представляет собой исчерпывающий перечень компонентов, используемых для создания части программного обеспечения. В нем перечислены все открытые и проприетарные коды, связанные лицензии, используемые версии и статус исправлений. Более полный SBOM также включает места загрузки для компонентов и зависимостей, а также любые подзависимости, на которые ссылаются зависимости. Конкретные элементы и количество деталей, включенных в SBOM, зависят от организации, ее клиентов и партнеров, любых соответствующих регулирующих органов и от того, какая информация им нужна. Эти данные предназначены для совместного использования компаниями и сообществами, чтобы позволить другим организациям создавать свои собственные полные спецификации программного обеспечения.
Укрепление цепочки поставок
Безопасность настолько сильна, насколько сильно ее самое слабое звено. Цепочки поставок программного обеспечения, из которых строятся современные современные приложения, сложны и сложны, и любые проблемы с безопасностью в этой цепочке могут подвергнуть вашу организацию или ваших клиентов риску атаки. Чтобы завоевать доверие ваших потребителей и соответствовать отраслевым стандартам и нормам, вы должны защитить свою цепочку поставок от угроз безопасности и продемонстрировать, что вы это сделали. Узнайте больше о том, как выглядит цепочка поставок программного обеспечения, связанные с ней риски и как разработать комплексный подход к безопасности цепочки поставок, чтобы ваша организация не была самым слабым звеном.
Майк МакГуайр (Mike McGuire) — старший менеджер по маркетингу продуктов в Synopsys, американской компании по автоматизации проектирования электроники, которая занимается проектированием и проверкой микросхем, интеллектуальной собственностью на микросхемы, а также безопасностью и качеством программного обеспечения.