Подписването на програмния код може да е ключът към справянето

Подписването на програмния код може да е ключът към оправянето с офанзивите към веригите на доставка на програмен продукт (Снимка: rawpixel.com)

Въпреки че веригите за доставки не са толкоз затормозени, както бяха по време на пандемията, към момента има някои огромни проблеми при тях. Ново изследване измежду 1000 основни ИТ шефове, извършено от Venafi, демонстрира, че над 80% от ИТ водачите, че техните организации са уязвими към хакерски атаки, ориентирани към веригите за доставка на програмен продукт. Тези недостатъци в киберсигурността остават главен проблем за доста компании, защото процентът на офанзивите към веригата за доставки е повишен с 51% единствено предходната година.

„ Дигиталната промяна направи от всеки бизнес разработчик на програмен продукт. В резултат на това средите за разработка на програмен продукт се трансфораха в големи цели за нападателите “, сподели Кевин Бочек, вицепрезидент по разузнаване на закани и бизнес развиване за Venafi. „ Хакерите откриха, че сполучливите офанзиви към веригите за доставки са извънредно ефикасни и са доста печеливши. “

Освен това 85% от ИТ шефовете са особено инструктирани от борда или основния изпълнителен шеф да подхващат дейности за възстановяване на сигурността на средата за разработка и създаване на програмен продукт. Но остава въпросът по какъв начин се направи това?

Осуетяване на хакерските атаки

Описаният скок в хакерските атаки по отношение на веригата за доставка на програмен продукт през миналата година сложи акцент върху казуса: фирмите би трябвало да подхващат дейности неотложно, в случай че не желаят да станат следващите имена в дългия лист с жертви. За да се борят с тези евентуални пропуски в сигурността, 84% от интервюираните считат, че тяхната организация е отделила забележителна част от бюджета си за отбрана на веригата за доставки през последната година.

Според ИТ шефовете, техните подходи са се трансформирали посредством използване на повече контроли за сигурност (68%), в допълнение потребление на сключване на кода (56%) и разглеждане на произхода на библиотеките с отворен код (47%). Въпреки това, някои ИТ шефове и бизнеси са по-малко склонни да трансформират своите практики за сигурност. Така е, тъй като контролът ще изисква фундаментална смяна в структурата за по-добра сигурност на процедурите за създаване на програмен продукт.

„ ИТ шефовете осъзнават, че би трябвало да подобрят сигурността на веригата за доставки на програмен продукт, само че е извънредно мъчно да се дефинира къде тъкмо са рисковете, кои усъвършенствания обезпечават най-хубав резултат и по какъв начин въпросните промени понижават риска с течение на времето “, споделя Бочек. „ Не можем да решим този проблем, употребявайки съществуващите методологии. Вместо това би трябвало да мислим по друг метод за идентичността и целостта на кода, който построяваме и използваме. Трябва да го пазиме и да подсигуряваме сигурността му на всяка стъпка от процеса на разработка, с машинна скорост “.

Подписване на кода

Според констатациите на изследването, екипите по осведомителна сигурност нямат нужната дълбочина на знанията, с цел да се оправят с тънкостите на процедурите по създаване на програмен продукт. Въпреки че злонамерените страни започнаха да проникват в неприятно предпазени CI/CD системи, време е организациите да стартират да употребяват метода на сключване на кода, с цел да покачат сигурността на веригите за доставки.

Използвайки сключване на код за наличните уязвими системи, предприятията могат да „ заловен “ неподписания злотворен програмен продукт, преди той да нанесе вреди и да сътвори безпорядък във веригата за доставка – надлежно и в потребителската база. От всички ИТ шефове, които са дали отговор в анкетата, 71% настояват, че бюджетът им за сключване на код се усилва, а 56% споделят, че техният бизнес е положил старания да употребява повече сключване на код, с цел да компенсира риска от спомагателни хакерски атаки.

Според разбора на данните от това изследване, фирмите би трябвало да употребяват повече процедури за сключване на код, даже в случай че това значи в кратковременен проект да претърпят огромен дискомфорт – до момента в който преструктурират организацията за гарантиране на киберсигурност.