Глобальне опитування 900 професіоналів із безпеки застосунків виявило, що майже дві третини з них (63%) у своїх ІТ-організаціях зазнали зламу ланцюжків постачання програмного забезпечення за останні 2 роки, причому 18% із них стали жертвами зламу за останній рік. Про це повідомляє DevOps.com.
Опитування, проведене компанією Checkmarx, постачальником інструментів тестування безпеки застосунків, також виявило, що 100% респондентів знають про порушення в ланцюгу постачання їхнього програмного забезпечення, яке сталося в певний момент у минулому.
Опитування виявило, що три чверті респондентів (75%) зараз або дуже стурбовані (39%), або стурбовані (36%) безпекою свого ланцюга постачання ПЗ.
Ренні Шен, віцепрезидент із маркетингу компанії Checkmarx, сказав, що окрім SBOM і розгортання інструментів для виявлення вразливостей і зловмисного ПЗ, командам DevSecOps також необхідно прийняти ініціативи нульової довіри, щоб забезпечити доступ до свого ланцюга постачання ПЗ. Наразі немає єдиного інструменту чи платформи, які б дали змогу командам DevSecOps досягти цієї мети.
Загалом захист програмного забезпечення залишається складним, оскільки навіть якщо буде виявлено вразливе місце, то команда DevSecOps може бути не в змозі його захистити, зазначив Шен.
Наприклад, понад половина (56%) розгорнутих програм базуються на пакетах із відкритим вихідним кодом, оновлення яких залежить від зовнішніх супроводжувачів.
Багатьом організаціям ще належить визначити набір ключових показників ефективності (KPI), які дозволять їм переконатися, що найкращі практики DevSecOps застосовуються.
Зараз недостатньо уваги приділяється безпеці програм, тому розробники зосереджуються на написанні нового коду, а не на виправленні наявного.
Розвиток генеративного штучного інтелекту незабаром спростить пошук та усунення вразливостей. Наприклад, автоматично створюючи необхідний патч. Тим часом захист ланцюгів постачання програмного забезпечення вимагає пильності.
Читайте також на ProIT: Безпека як код (SaC): як подолати кіберзагрози на ранніх стадіях.
Раніше ми розповідали, що 60% ІТ-фахівців витрачають чотири дні або більше на усунення вразливостей — опитування JFrog.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!