Varför hantering av leveranskedjor med öppen källkod är värre än du tror

Den sjunde årliga rapporten om tillståndet för mjukvaruförsörjningskedjan från Sonatype fann att utvecklare tror att mjukvaruhanteringsmetoder är i mycket bättre skick än vad förhållandena på marken indikerar.

Analysen fann att majoriteten av de tillfrågade använder en ad hoc-metod för hantering av mjukvaruförsörjningskedjan för de flesta delar av processen, förutom sanering och inventering. Respondenterna verkar åtgärda riskabla komponenter och förstå var riskerna finns i försörjningskedjan, även om de har ett informellt förhållningssätt till processerna för att bygga och släppa samt riskhantering.

Rapporten visade ett tydligt avbrott mellan vad som faktiskt händer och vad folk tror händer: “Respondenterna har övertalat sig själva att tro att de gör ett bra jobb, vilket åtminstone leder till en falsk känsla av säkerhet och i värsta fall till enorma ineffektiviteter. i ingenjörsprocessen.”

Rapporten fann också en ökning med 650 % från år till år i utbudskedjasattacker riktade mot offentliga förvar uppströms. Det förekom 216 attacker för mjukvaruförsörjningskedjan från februari 2015 till juni 2019. Från juli 2019 till maj 2020 gick det antalet upp till 929 attacker, enligt rapporten.

SER: Utvecklare med öppen källkod säger att det är ett slöseri med tid att säkra sin kod

Matt Howard, EVP för Sonatype, sa i ett pressmeddelande att rapporten förstärkte det faktum att öppen källkod är både kritiskt bränsle för digital innovation och ett moget mål för attacker från mjukvaruförsörjningskedjan.

“Medan utvecklarnas efterfrågan på öppen källkod fortsätter att växa exponentiellt, visar vår forskning för första gången hur lite av det totala utbudet som faktiskt utnyttjas”, sa han. “Dessutom vet vi nu att populära projekt innehåller oproportionerligt fler sårbarheter.”

Analysen avslöjade också att 29 % av populära projekt med öppen källkod innehåller minst en känd säkerhetsrisk jämfört med endast 6,5 % av mindre populära OSS-projekt. Och trots de miljontals projekt med öppen källkod som finns tillgängliga, används bara 6 % regelbundet.

De vanligaste typerna av attacker mot mjukvaruförsörjningskedjan under det senaste året var:

• Beroende/namnområdesförvirring: En dålig skådespelare publicerar ett skadligt paket med exakt samma namn som ett legitimt, proprietärt paket till ett offentligt arkiv som inte reglerar namnutrymmesidentitet.
• Typosquatting: Denna indirekta attack utnyttjar felstavningar och stavfel för att få utvecklare att installera en skadlig komponent som misstas för den riktiga.
• Injektioner av skadlig källkod: Den här typen av attacker minskade i frekvens under det senaste året och involverade injicering av skadlig källkod direkt i ett projekt med öppen källkod.

Hur man minskar riskerna för OSS-programvaruförsörjningskedjan

För att minimera risken förknippad med sårbarheter i tredjepartsbibliotek med öppen källkod rekommenderar Sonatype-analytiker att mjukvaruutvecklingsteam antar definierade kriterier för att välja projekt med öppen källkod och letar efter projekt som har låg medeltid för uppdatering.

Detta mått ger insyn i ett öppen källkodsprojekts praxis för beroendehantering och en lägre tid är bättre. Enligt rapporten kommer “Projekt som konsekvent reagerar snabbt på beroendeuppgraderingar i sin nedströms beroendekedja att ha låg MTTU. Projekt som antingen konsekvent reagerar långsamt eller har hög varians i sin reaktionstid kommer att ha högre MTTU.” Tidigare Sonatype-forskning antydde också att MTTU är korrelerad med medeltiden för sanering.

Sonatypes 2021 State of the Software Supply Chain-rapport kombinerade offentliga och proprietära data för att identifiera trender inom modern mjukvaruutveckling. Årets rapport analyserade operativa utbud, efterfrågan och säkerhetstrender förknippade med ekosystemen Java (Maven Central), JavaScript (npmjs), Python (PyPI) och .NET (nuget). Forskare studerade också programvaruteknik från 100 000 produktionsapplikationer och 4 miljoner komponentmigreringar som gjorts av utvecklare under de senaste 12 månaderna.

Mätning av försörjningskedjans praxis och tekniska resultat

Förutom att bedöma tillståndet för OSS-säkerheten, tittade Sonatype-rapporten också på hur verkligheten av supply chain management kan jämföras med bästa praxis. Forskare undersökte också 702 mjukvaruingenjörer för att mäta tillståndet för hantering av mjukvaruförsörjningskedjan med programvara med öppen källkod. Undersökningen syftade till att ta fram en uppsättning riktmärken.

Sonatype-analytiker mätte enkätsvaren mot dessa åtta delar av hantering av mjukvaruförsörjningskedjan:

1. Applikationsinventering: Vilka applikationer kör du och vilka komponenter med öppen källkod innehåller de?
2. Leverantörshygien: Kommer OSS-komponenterna från en pålitlig leverantör?
3. Bygg och släpp: Förstår du hur mjukvarukomponenter går samman för att bygga och släppa applikationer i produktion?
4. Projektförbrukning: Styr du val av OSS-komponenter?
5. Ge tillbaka: Bidrar du till öppen källkod?
6. Policykontroll: Vad är din risktolerans?
7. Digital transformation: Vilken är din genomförandeplan för implementering av nya processer och verktyg?
8. Sanering: Hur fixar man identifierade risker i OSS-komponenter?

Svaren poängsattes och mappades sedan till ett av de fem stegen av hantering av programvara för leveranskedjan:

• Ohanterad: Ett “allt går”-tänk med minimal tillsyn.
• Utforskning: En process för att identifiera upplevda problem och börja hitta lösningar.
• Ad hoc: Början på att definiera och välja nya verktyg och processer.
• Kontrollera: En mer formaliserad förvaltningsprocess börjar få fäste.
• Övervaka och mäta: En fas för att proaktivt ta itu med OSS-komponentrisk.

Majoriteten av svaren betygsattes i ad hoc-fasen eller tidigare. Genom att kombinera dessa resultat med den objektiva analysen från andra kapitel i rapporten avslöjades skillnaden mellan hur mjukvaruutvecklingsteam tror att de gör och vad som faktiskt händer. Enligt rapporten följer inte utvecklingsteam strukturerad vägledning och har inte intelligenta verktyg för att säkerställa kvalitetsresultat. Att förena denna uppfattning med verkligheten kommer att hjälpa organisationer att uppnå de utlovade effektivitetsvinsterna i beroendehantering.”