Il 20 giugno 2024, Gartner ha pubblicato il suo influente LGuida del lettore alla sicurezza della catena di fornitura del software, evidenziando la crescente necessità di difendersi dagli attacchi alla supply chain del software. Con la crescente frequenza e sofisticatezza di questi attacchi, le organizzazioni affrontano rischi significativi che devono gestire in modo efficace. Questo post interpreta i risultati critici del report di Gartner. Spiega come le soluzioni di Scribe Security si allineano e supportano queste raccomandazioni, consentendo alle organizzazioni di gestire sicurezza della catena di fornitura del software (SSCS) strategicamente.
Principali risultati della guida Gartner
La guida di Gartner fornisce una roadmap strategica per le organizzazioni per proteggere i loro SSCS. Sottolinea la necessità di strategie unificate, condivisione efficace delle informazioni e pratiche di sicurezza integrate nell'intero ciclo di vita dello sviluppo software, piuttosto che concentrarsi su specifici vettori di minaccia. Il rapporto suggerisce un approccio ampio a SSCS che include le seguenti aree:
- Codice Open Source vulnerabile: Molte organizzazioni si affidano al software open source (OSS), che può presentare vulnerabilità se non gestito e monitorato correttamente.
- Codice commerciale proprietario: Oltre ai rischi legati all'open source, il software proprietario può contenere vulnerabilità che gli aggressori potrebbero sfruttare.
- Infrastruttura di sviluppo: Le debolezze nell'ambiente di sviluppo, come pipeline di sviluppo non sicure o controlli di accesso insufficienti, possono portare a violazioni della sicurezza.
- Codice dannoso nei pacchetti open source: Gli aggressori potrebbero inserire codice dannoso nei pacchetti open source più diffusi, che gli sviluppatori potrebbero adottare senza saperlo.
- Vulnerabilità nel codice proprietario: Anche i software realizzati su misura possono contenere bug e vulnerabilità che, se sfruttati, potrebbero causare gravi incidenti di sicurezza.
Sottolineando questa ampia superficie di attacco, Gartner incoraggia le organizzazioni a sviluppare una strategia completa che affronti i rischi e le vulnerabilità open source e proprietari nell'infrastruttura di sviluppo.
L'aumento dei costi degli attacchi alla supply chain del software
Gartner descrive il numero e il costo in rapido aumento degli attacchi alla supply chain del software. Citando un report di Cybersecurity Ventures/Snyk di ottobre 2023, il costo globale di questi attacchi potrebbe raggiungere quasi 138 miliardi di $ entro il 2031, rispetto ai quasi 46 miliardi di $ del 2023. Queste cifre sottolineano il significativo impatto finanziario di questi attacchi sulle aziende di tutto il mondo e l'importanza di investire in SSCS.
Lacune negli attuali sforzi di implementazione
Mentre la maggior parte delle organizzazioni riconosce l'importanza della sicurezza della supply chain del software, i risultati di Gartner indicano che gli sforzi di implementazione sono spesso frammentati e non coordinati, come ha rilevato un sondaggio Gartner del 2023. Nel sondaggio, due terzi delle organizzazioni hanno lavorato su iniziative SSCS, ma i loro sforzi sono stati solitamente carenti. I problemi comuni includono la focalizzazione sulla sicurezza delle applicazioni senza affrontare la sicurezza dell'ambiente di sviluppo, portando a lacune che gli aggressori possono sfruttare.
Il futuro dell'adozione di SSCS
Gartner raccomanda come presupposto di pianificazione che entro il 2027 l'80% delle organizzazioni adotterà processi e strumenti specializzati in tutta l'azienda per mitigare i rischi SSCS, rispetto al 50% del 2023. Questo aumento riflette una crescente consapevolezza dell'importanza critica di una strategia SSCS e della necessità di soluzioni che integrino la sicurezza durante l'intero ciclo di vita dello sviluppo del software.
Importanza del coordinamento e dell'automazione
Per stabilire un SSCS efficace, Gartner discute la necessità di coordinamento e condivisione delle informazioni a livello di organizzazione. L'automazione svolge un ruolo significativo in questa strategia, consentendo l'applicazione coerente delle policy di sicurezza e valutazioni di sicurezza tempestive durante tutto il ciclo di vita dello sviluppo del software. I processi automatizzati riducono la dipendenza dall'intervento manuale, riducono al minimo l'errore umano e garantiscono l'applicazione coerente delle misure di sicurezza in tutte le fasi di sviluppo, dalla creazione del codice all'implementazione.
La piattaforma di Scribe Security si allinea a questi principi incorporando processi automatizzati che migliorano il rilevamento delle minacce in tempo reale, il monitoraggio della conformità e l'applicazione delle policy. L'offerta di automazione come parte della sua soluzione SSCS assicura una gestione dei rischi proattiva ed efficiente, aiutando le organizzazioni a evitare minacce emergenti.
Coordinamento delle parti interessate
Un SSCS efficace richiede la collaborazione tra vari stakeholder, tra cui team di sicurezza, ingegneria del software, approvvigionamento, gestione del rischio dei fornitori e sicurezza operativa. Ogni gruppo svolge un ruolo nel mantenimento di una supply chain software sicura e il coordinamento tra questi stakeholder aiuta a garantire uno standard e delle pratiche SSCS coerenti.
La piattaforma collaborativa di Scribe Security facilita il coordinamento inter-organizzativo consentendo la comunicazione e la condivisione delle informazioni e offrendo una visione unificata dei dati di sicurezza. Ciò aiuta, ad esempio, a rispondere rapidamente a potenziali minacce e a mantenere un approccio coerente a SSCS.
Strumenti e tecnologia
Data la complessità delle moderne supply chain del software, Gartner consiglia di utilizzare strumenti specializzati su misura per supportare diverse fasi del ciclo di vita SSCS. Le organizzazioni dovrebbero iniziare valutando le fasi critiche per dare priorità agli strumenti e alle funzionalità che meglio si allineano alle loro esigenze. Scribe Security fornisce una suite completa di strumenti progettati per gestire i rischi nell'intero ciclo di vita del software, dallo sviluppo alla distribuzione e oltre.
I tre pilastri della sicurezza della supply chain del software e come Scribe li affronta
Gartner identifica tre pilastri critici per raggiungere un'adeguata sicurezza della supply chain del software: Curate, Create e Consume. Questi pilastri costituiscono un framework per le organizzazioni per sviluppare una strategia SSCS efficace. Scribe Security offre capacità che si allineano con ciascuno di questi pilastri per proteggere tutti gli aspetti della supply chain del software.
1. Curare
La curatela implica la gestione dei rischi associati alle librerie di terze parti utilizzate come dipendenze durante il ciclo di vita dello sviluppo software. I componenti di terze parti possono introdurre vulnerabilità se non opportunamente esaminati e monitorati. Gartner consiglia di implementare processi e strumenti per valutare le dipendenze per sicurezza, rischio operativo, conformità legale e applicazione automatizzata delle policy per impedire l'uso di dipendenze rischiose o non approvate.
Come Scribe si allinea al pilastro Curate:
- Analisi automatizzata delle dipendenze: Scribe analizza automaticamente le dipendenze software prima, durante e dopo lo sviluppo. Questo monitoraggio continuo valuta automaticamente i cambiamenti nelle dipendenze per potenziali rischi di sicurezza.
- Raccolta completa di informazioni di intelligence: Scribe raccoglie informazioni dettagliate su ogni dipendenza, tra cui informazioni su vulnerabilità note, punteggi di reputazione (come quelli di OpenSSF), correzioni disponibili e informazioni sulle licenze. Questi dati aiutano le organizzazioni a prendere decisioni informate su quali dipendenze utilizzare.
- Inventario della distinta base del software arricchito (SBOM): Scribe gestisce tutte le informazioni sulle dipendenze in un inventario SBOM arricchito. Questo inventario fornisce una visione chiara e completa di tutti i componenti software, semplificando il monitoraggio e la gestione dei rischi.
- Applicazione automatizzata dei criteri: Scribe applica policy automatizzate per avvisare, bloccare o consentire dipendenze esterne in base a criteri predefiniti. Queste policy possono gestire rischi di sicurezza, operativi, legali e di conformità, sono altamente personalizzabili come codice e sono gestite in modo nativo con GitOps. Questo approccio promuove l'utilizzo di sole dipendenze sicure e approvate.
2. Creare
Il pilastro Create si concentra sulla protezione del software da iniezioni di codice dannoso in diverse fasi del processo di sviluppo. Ciò richiede il monitoraggio delle dipendenze, la protezione degli ambienti di sviluppo, la garanzia della provenienza e dell'integrità degli artefatti e l'implementazione di rigidi controlli e policy di sicurezza.
In che modo Scribe si allinea al pilastro Crea:
- Approccio alla sicurezza dall'alto verso il basso: Scribe utilizza un approccio top-down per proteggere il software durante tutto il suo ciclo di vita di sviluppo. Questo approccio implica la scoperta di tutte le pipeline del ciclo di vita di sviluppo software (SDLC) nell'organizzazione, dalla creazione del codice alla distribuzione o al rilascio nel cloud.
- Monitoraggio continuo: Scribe monitora l'intero ciclo di vita dello sviluppo, comprese le fasi pre e post distribuzione. Questo monitoraggio continuo aiuta a identificare e mitigare i rischi per la sicurezza in ogni fase dello sviluppo.
- Firma crittografica degli artefatti: Scribe assicura che le prove e tutti gli hash degli artefatti intermedi e finali siano firmati crittograficamente. Questa pratica fornisce una provenienza immediata per ogni artefatto creato, assicurando l'integrità e l'autenticità dei componenti software.
- Knowledge Graph e inventario SBOM: L'archivio di prove di Scribe funge da knowledge graph e inventario SBOM, tracciando tutti i componenti utilizzati nei progetti e nella produzione con contesto. Questo tracciamento consente avvisi in tempo reale sulla presenza di artefatti vulnerabili man mano che vengono pubblicate nuove vulnerabilità.
- Applicazione della politica: Scribe applica policy di sicurezza durante i processi di build, il controllo di ammissione e le scansioni di repository offline. Queste policy sono gestite come codice con GitOps, rendendole parte integrante dell'SDLC e assicurando che i controlli di sicurezza siano applicati in modo coerente.
- Modelli di conformità: Scribe offre blueprint di framework come Supply Chain Levels for Software Artifacts (SLSA) e Secure Software Development Framework (SSDF) per applicare o monitorare la conformità su base prodotto per prodotto e versione per versione. Questi blueprint forniscono un approccio standardizzato alla sicurezza e alla conformità, aiutando le organizzazioni a soddisfare gli standard del settore.
3. Consumare
Il pilastro Consume riduce i rischi associati al software confezionato di terze parti, sia commerciale off-the-shelf (COTS) che OSS. Ciò include la valutazione del software prima dell'acquisizione, la garanzia della trasparenza nella composizione del software, la conduzione di test specializzati e l'implementazione di processi robusti per SBOM e altri artefatti di sicurezza.
Come Scribe si allinea al pilastro del consumo:
- Piattaforma collaborativa per gli stakeholder SSCS: Scribe fornisce una piattaforma collaborativa che facilita la comunicazione e la condivisione di informazioni tra gli stakeholder SSCS all'interno e all'esterno dell'organizzazione. I vendor Scribe possono condividere SBOM, avvisi Vulnerability Exchange (VEX) e attestazioni di conformità, come la provenienza SLSA, con i propri clienti.
- Fonte Unificata della Verità: Scribe consente a vari stakeholder interni, sviluppatori, Security Operations Center (SOC), team Governance, Risk, and Compliance (GRC) e dipartimenti legali, di visualizzare una fonte di verità unificata. Questa vista centralizzata applica policy di rischio accettabili durante tutto il ciclo di vita del prodotto software.
- Coinvolgimento proattivo dei fornitori: Scribe aiuta le organizzazioni a interagire in modo proattivo con i propri fornitori per garantire conformità e sicurezza. Ciò è in linea con l'enfasi di Gartner sulla trasparenza e sulla valutazione approfondita. La piattaforma di Scribe consente alle organizzazioni di monitorare le pratiche di sicurezza dei fornitori e di garantire che il software di terze parti soddisfi i propri standard di sicurezza.
- Generazione e gestione SBOM: Scribe consente ai consumatori di software di generare SBOM per gli artefatti software ricevuti o di ingerire SBOM e i dati VEX forniti dai vendor. Questa funzionalità consente ai consumatori di mantenere un inventario aggiornato di tutti i componenti utilizzati nei prodotti confezionati, monitorare le nuove vulnerabilità e adottare misure tempestive per mitigare i rischi.
- Supporto alla risposta agli incidenti: Le prove raccolte e la discendenza mappata per gli artefatti software rilasciati creano responsabilità e forniscono informazioni forensi critiche per la risposta agli incidenti. Questa capacità migliora la capacità dell'organizzazione di rispondere in modo rapido ed efficace agli incidenti di sicurezza.
Perché scegliere Scribe Security?
Scribe Security offre un approccio ampio e integrato alla sicurezza della supply chain del software, allineandosi all'enfasi di Gartner su automazione, coordinamento e gestione proattiva del rischio. La soluzione di Scribe è integrata nell'SDLC dell'organizzazione, automatizzando la generazione di prove di sicurezza, applicando controlli di integrità e provenienza e applicando policy come guardrail durante tutto il ciclo di vita del software.
Principali vantaggi di Scribe Security:
- Automazione end-to-end: Scribe automatizza i processi di sicurezza, riducendo la necessità di supervisione manuale e velocizzando i controlli di conformità. Ciò include controlli di conformità automatizzati durante le fasi di build e distribuzione, firma degli artefatti, revisione del codice, implementazione di scanner di sicurezza e correzione di vulnerabilità gravi.
- Collaborazione tra le parti interessate: La piattaforma di Scribe migliora la collaborazione degli stakeholder, fungendo da singola fonte di verità che fornisce contesto, intelligence della supply chain e tracciamento degli artefatti software. Ciò supporta gli sforzi coordinati per gestire la sicurezza tra diversi dipartimenti e con partner esterni.
- Gestione dei rischi del fornitore: Scribe migliora la gestione del rischio dei fornitori consentendo alle organizzazioni di valutare e gestire prove critiche della supply chain, come SBOM, provenienza SLSA e attestazioni di conformità. Questa capacità aiuta i produttori e i consumatori a garantire che le loro supply chain software soddisfino gli standard di sicurezza e normativi.
- Integrazione con gli scanner di sicurezza delle applicazioni: Scribe si integra con i più diffusi scanner di sicurezza delle applicazioni, consentendo alle organizzazioni di applicare policy di sicurezza ai risultati e di mantenere una visione unificata della loro situazione di sicurezza complessiva.
Pronti a trasformare il vostro approccio alla sicurezza della supply chain del software?
Gartner Guida del leader alla sicurezza della supply chain del software sottolinea la necessità critica per le organizzazioni di adottare strategie SSCS complete e coordinate. Le organizzazioni possono gestire efficacemente i rischi, migliorare la sicurezza e garantire la conformità ai requisiti normativi implementando un framework a tre pilastri (Curate, Create e Consume) e sfruttando strumenti e processi avanzati come quelli offerti da Scribe Security. Il crescente impatto finanziario degli attacchi alla supply chain del software e l'evoluzione dei panorami normativi rendono le organizzazioni obbligate a dare priorità agli sforzi SSCS.
Ecco un piccolo promemoria che riassume come puoi utilizzare la piattaforma Scribe Security. Se vuoi approfondire programmare una demo per vederlo in azione.
Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.