Mobilné Správy, Gadgety, Blogy's Secenziami

Varför hantering av leveranskedjor med öppen källkod är värre än du tror

Obs: Följande artikel hjälper dig med: Varför hantering av leveranskedjor med öppen källkod är värre än du tror

En Sonatype-undersökning fann också en ökning med 650 % jämfört med föregående år av attacker i försörjningskedjan riktade mot offentliga lager uppströms.

Den sjunde årliga rapporten om tillståndet för mjukvaruförsörjningskedjan från Sonatype fann att utvecklare tror att mjukvaruhanteringsmetoder är i mycket bättre skick än vad förhållandena på marken indikerar.

Analysen fann att majoriteten av de tillfrågade använder en ad hoc-metod för hantering av mjukvaruförsörjningskedjan för de flesta delar av processen, förutom sanering och inventering. Respondenterna verkar åtgärda riskabla komponenter och förstå var riskerna finns i försörjningskedjan, även om de har ett informellt förhållningssätt till processerna för att bygga och släppa samt riskhantering.

Rapporten visade ett tydligt avbrott mellan vad som faktiskt h√§nder och vad folk tror h√§nder: ‚ÄúRespondenterna har √∂vertalat sig sj√§lva att tro att de g√∂r ett bra jobb, vilket √•tminstone leder till en falsk k√§nsla av s√§kerhet och i v√§rsta fall till enorma ineffektiviteter. i ingenj√∂rsprocessen.‚ÄĚ

Rapporten fann också en ökning med 650 % från år till år i utbudskedjasattacker riktade mot offentliga förvar uppströms. Det förekom 216 attacker för mjukvaruförsörjningskedjan från februari 2015 till juni 2019. Från juli 2019 till maj 2020 gick det antalet upp till 929 attacker, enligt rapporten.

SER: Utvecklare med öppen källkod säger att det är ett slöseri med tid att säkra sin kod

Matt Howard, EVP för Sonatype, sa i ett pressmeddelande att rapporten förstärkte det faktum att öppen källkod är både kritiskt bränsle för digital innovation och ett moget mål för attacker från mjukvaruförsörjningskedjan.

‚ÄúMedan utvecklarnas efterfr√•gan p√• √∂ppen k√§llkod forts√§tter att v√§xa exponentiellt, visar v√•r forskning f√∂r f√∂rsta g√•ngen hur lite av det totala utbudet som faktiskt utnyttjas‚ÄĚ, sa han. ‚ÄúDessutom vet vi nu att popul√§ra projekt inneh√•ller oproportionerligt fler s√•rbarheter.‚ÄĚ

Analysen avslöjade också att 29 % av populära projekt med öppen källkod innehåller minst en känd säkerhetsrisk jämfört med endast 6,5 % av mindre populära OSS-projekt. Och trots de miljontals projekt med öppen källkod som finns tillgängliga, används bara 6 % regelbundet.

De vanligaste typerna av attacker mot mjukvaruförsörjningskedjan under det senaste året var:

  • Beroende/namnomr√•desf√∂rvirring: En d√•lig sk√•despelare publicerar ett skadligt paket med exakt samma namn som ett legitimt, propriet√§rt paket till ett offentligt arkiv som inte reglerar namnutrymmesidentitet.
  • Typosquatting: Denna indirekta attack utnyttjar felstavningar och stavfel f√∂r att f√• utvecklare att installera en skadlig komponent som misstas f√∂r den riktiga.
  • Injektioner av skadlig k√§llkod: Den h√§r typen av attacker minskade i frekvens under det senaste √•ret och involverade injicering av skadlig k√§llkod direkt i ett projekt med √∂ppen k√§llkod.

Hur man minskar riskerna för OSS-programvaruförsörjningskedjan

För att minimera risken förknippad med sårbarheter i tredjepartsbibliotek med öppen källkod rekommenderar Sonatype-analytiker att mjukvaruutvecklingsteam antar definierade kriterier för att välja projekt med öppen källkod och letar efter projekt som har låg medeltid för uppdatering.

Detta m√•tt ger insyn i ett √∂ppen k√§llkodsprojekts praxis f√∂r beroendehantering och en l√§gre tid √§r b√§ttre. Enligt rapporten kommer ‚ÄúProjekt som konsekvent reagerar snabbt p√• beroendeuppgraderingar i sin nedstr√∂ms beroendekedja att ha l√•g MTTU. Projekt som antingen konsekvent reagerar l√•ngsamt eller har h√∂g varians i sin reaktionstid kommer att ha h√∂gre MTTU.‚ÄĚ Tidigare Sonatype-forskning antydde ocks√• att MTTU √§r korrelerad med medeltiden f√∂r sanering.

Sonatypes 2021 State of the Software Supply Chain-rapport kombinerade offentliga och proprietära data för att identifiera trender inom modern mjukvaruutveckling. Årets rapport analyserade operativa utbud, efterfrågan och säkerhetstrender förknippade med ekosystemen Java (Maven Central), JavaScript (npmjs), Python (PyPI) och .NET (nuget). Forskare studerade också programvaruteknik från 100 000 produktionsapplikationer och 4 miljoner komponentmigreringar som gjorts av utvecklare under de senaste 12 månaderna.

Mätning av försörjningskedjans praxis och tekniska resultat

Förutom att bedöma tillståndet för OSS-säkerheten, tittade Sonatype-rapporten också på hur verkligheten av supply chain management kan jämföras med bästa praxis. Forskare undersökte också 702 mjukvaruingenjörer för att mäta tillståndet för hantering av mjukvaruförsörjningskedjan med programvara med öppen källkod. Undersökningen syftade till att ta fram en uppsättning riktmärken.

Sonatype-analytiker mätte enkätsvaren mot dessa åtta delar av hantering av mjukvaruförsörjningskedjan:

  1. Applikationsinventering: Vilka applikationer kör du och vilka komponenter med öppen källkod innehåller de?
  2. Leverantörshygien: Kommer OSS-komponenterna från en pålitlig leverantör?
  3. Bygg och släpp: Förstår du hur mjukvarukomponenter går samman för att bygga och släppa applikationer i produktion?
  4. Projektförbrukning: Styr du val av OSS-komponenter?
  5. Ge tillbaka: Bidrar du till öppen källkod?
  6. Policykontroll: Vad är din risktolerans?
  7. Digital transformation: Vilken är din genomförandeplan för implementering av nya processer och verktyg?
  8. Sanering: Hur fixar man identifierade risker i OSS-komponenter?

Svaren poängsattes och mappades sedan till ett av de fem stegen av hantering av programvara för leveranskedjan:

  • Ohanterad: Ett ‚Äúallt g√•r‚ÄĚ-t√§nk med minimal tillsyn.
  • Utforskning: En process f√∂r att identifiera upplevda problem och b√∂rja hitta l√∂sningar.
  • Ad hoc: B√∂rjan p√• att definiera och v√§lja nya verktyg och processer.
  • Kontrollera: En mer formaliserad f√∂rvaltningsprocess b√∂rjar f√• f√§ste.
  • √Ėvervaka och m√§ta: En fas f√∂r att proaktivt ta itu med OSS-komponentrisk.

Majoriteten av svaren betygsattes i ad hoc-fasen eller tidigare. Genom att kombinera dessa resultat med den objektiva analysen fr√•n andra kapitel i rapporten avsl√∂jades skillnaden mellan hur mjukvaruutvecklingsteam tror att de g√∂r och vad som faktiskt h√§nder. Enligt rapporten f√∂ljer inte utvecklingsteam strukturerad v√§gledning och har inte intelligenta verktyg f√∂r att s√§kerst√§lla kvalitetsresultat. Att f√∂rena denna uppfattning med verkligheten kommer att hj√§lpa organisationer att uppn√• de utlovade effektivitetsvinsterna i beroendehantering.‚ÄĚ