Едва ли треть ИТ-специалистов может проверить код на предмет взлома

Глобальное исследование, проведенное компанией Dimensional Research по заказу ReversingLabs, показало, что команды разработчиков программного обеспечения все больше обеспокоены атаками на цепочки поставок и несанкционированным использованием кода, при этом едва ли треть из них могут эффективно проверять безопасность разработанного и опубликованного кода на предмет несанкционированного использования.

Компания Dimensional Research опросила более 300 профессионалов в области ИТ и безопасности по всему миру. Среди респондентов были руководители, технологи и специалисты по безопасности крупных и малых предприятий, занимающихся разработкой программного обеспечения, представляющие все уровни руководящих должностей и отвечающие за цифровые продукты или лидерство.

Несмотря на осведомленность об опасности публикации уязвимого программного обеспечения, компании продолжают подвергать себя риску атак на цепочки поставок программного обеспечения.

Основные выводы

• В процессе выпуска программного обеспечения компании идут на риск. По словам 54 % респондентов, их компания сознательно выпускает программное обеспечение с потенциальными рисками безопасности.

• Код сторонних разработчиков повышает риск цепочки поставок. 98 % респондентов сообщили, что использование программного обеспечения сторонних производителей, включая программное обеспечение с открытым исходным кодом, повышает риски безопасности.

• Фальсификация программного обеспечения реальна, но незаметна: 87% специалистов по безопасности и технологиям согласны с тем, что фальсификация программного обеспечения - это новый вектор, открывающий возможности взлома для злоумышленников, но только в 37% случаев у сотрудников имеется способ ее обнаружения в цепочке поставок.

• Из тех, кто может обнаружить фальсификацию программного обеспечения, только 7% делают это на каждом этапе жизненного цикла разработки программного обеспечения, и лишь каждый третий проверяет фальсификацию после завершения разработки и развертывания приложения.

"Руководители остро осознают риски, связанные с цепочкой поставок программного обеспечения", - сказал Марио Вуксан, генеральный директор компании ReversingLabs. "Это неудивительно, учитывая известность громких атак и распоряжение администрации США об установлении базовых стандартов безопасности для программного обеспечения, продаваемого правительству. Мы можем быть уверены, что организации осознают, что риски, связанные с программным обеспечением, выходят за рамки уязвимостей и вредоносных программ, и что угрозы взлома представляют собой растущий вектор атак, открывающий им новые риски. К сожалению, большинство из них все еще отстают в своей способности бороться с фальсификацией".

Исследование также показало, что руководители компаний готовы использовать такие инструменты, как программные накладные на материалы (SBoM - software bills of materials), чтобы помочь им справиться со сложной задачей мониторинга и обнаружения компрометации цепочки поставок и рисков. 77 % опрошенных ценят SBoM как способ проверки на фальсификацию. Однако большинству компаний не удается создать и проанализировать SBoM. Респонденты отметили, что препятствиями являются сложность и распространенность утомительных ручных процессов создания SBoM. Также препятствием является отсутствие лучших практик, процессов и инструментов в сочетании с недостатком опыта.

Другие выводы

• Только 27% компаний в настоящее время создают и анализируют SBoMs, а 90% отметили растущую сложность создания и анализа SBoMs.

• Практически половина респондентов сообщили, что процессы создания и анализа SBoM включают в себя ручные действия.

• Отсутствие опыта (44%) и нехватка персонала для рассмотрения и анализа SBoM (44%) были основными причинами неспособности компаний создать и рассмотреть SBoM.

"Респонденты признают, что инструментарий и автоматизация необходимы для обнаружения фальсификации на всех этапах процесса разработки программного обеспечения. Тем не менее, им трудно внедрить их на практике", - заметил Вуксан.

"По мере появления новых решений, позволяющих получить представление о разработанном коде и обнаружить фальсификацию до его публичного распространения, организации могут предпринять шаги для надлежащего управления рисками в цепочке поставок программного обеспечения и гарантировать, что их код не станет жертвой фальсификации со стороны изощренных кибератак».