Analisis Coalfire pada rantai pasokan perangkat lunak 2022

Analisis Coalfire pada rantai pasokan perangkat lunak 2022

Coalfire merilis laporan tentang Risiko Rantai Pasokan Perangkat Lunak. Studi ini mengungkapkan peningkatan anggaran, dan meningkatnya permintaan perusahaan untuk lebih banyak pengujian, pelatihan, dan peningkatan proses untuk melindungi aset digital dengan lebih baik dengan mempertimbangkan beratnya risiko rantai pasokan perangkat lunak.

Survei terhadap 300 responden dari perusahaan pembelian perangkat lunak dan produsen perangkat lunak menangkap dampak peristiwa dunia maya baru-baru ini seperti Perintah Eksekutif (EO) Presiden Biden pada keamanan dunia maya, dan penundaan pengadaan terkait COVID-19. Laporan tersebut mengungkapkan tindakan apa yang diambil perusahaan untuk mengatasi tantangan ini.

Executive Order (EO) 14028, “Meningkatkan Keamanan Siber Negara” mendorong lembaga-lembaga untuk mengadopsi prinsip-prinsip keamanan siber tanpa kepercayaan dan menyesuaikan arsitektur jaringan mereka. Sounil Yu, kepala petugas keamanan informasi di JupiterOne mengatakan, “Tim keamanan perlu tahu apa yang mereka pertahankan. Ketika kerentanan ditemukan, Software Bill of Materials (SBOM) membantu tim keamanan mulai menilai paparan mereka terhadap kerentanan tersebut dan segera mengambil tindakan.” Yu melanjutkan, “Tanpa SBOM, batas waktu untuk memperbaiki kerentanan tersebut dapat mencapai berbulan-bulan atau bertahun-tahun karena tim keamanan harus menunggu pemberitahuan dari masing-masing pemasok.”

SBOM adalah semacam slip pengepakan yang mencantumkan paket dan pustaka yang masuk ke aplikasi Anda, serta hubungannya dengan aplikasi lain. Ini sangat penting dalam suasana tanpa toleransi.

Kesadaran tingkat eksekutif meningkat

Laporan tersebut merangkum beratnya risiko rantai pasokan perangkat lunak dan memberikan praktik terbaik bagi pembeli dan penjual perangkat lunak untuk mengurangi ancaman secara efektif. Lebih dari 50% dewan direksi dengan perusahaan pembelian perangkat lunak menyampaikan kekhawatiran, yang mungkin mengindikasikan bahwa tanggung jawab atas risiko rantai pasokan perangkat lunak tidak lagi terbatas pada tim teknis.
IKLAN

Lima puluh sembilan persen pengembang perangkat lunak melaporkan bahwa pelanggan mereka mengalami penundaan pembelian hingga tiga bulan karena masalah sumber kode – bagaimana dan di mana diproduksi, siapa yang memilikinya, di mana disimpan – terutama terkait perangkat lunak yang dikodekan di luar negeri.

Mengingat persyaratan Software Bill of Materials (SBOM) dalam EO Presiden, 54% organisasi memfokuskan kembali pada Siklus Hidup Pengembangan Perangkat Lunak (SDLC). Para pemimpin perusahaan berencana untuk berinvestasi besar-besaran dalam manajemen risiko rantai pasokan perangkat lunak, dengan lebih dari sepertiga kemungkinan mengalokasikan setidaknya 10% dari anggaran keamanan aplikasi mereka untuk proses khusus rantai pasokan.

“Dengan 71% responden melaporkan bahwa devops sekarang memimpin pengambilan keputusan rantai pasokan digital, kami jelas telah mencapai titik balik dalam evolusi manajemen keamanan,” kata wakil presiden strategi produk Coalfire, Dan Cornell. “Ini berita bagus bagi pembeli perangkat lunak, karena perubahan ini pada akhirnya akan menciptakan aplikasi yang lebih kuat dengan kerentanan yang lebih sedikit.”

Joshua Corman, mantan kepala strategi CISA COVID-19 Task Force, pendiri I Am The Calvary, dan penulis kata pengantar laporan mengatakan, “Kekuatan dalam aplikasi sangat penting untuk membangun dan mempertahankan kepercayaan antara pengembang perangkat lunak dan pembeli atau operator perangkat lunak. Kepercayaan yang kami tempatkan pada infrastruktur digital kami harus sebanding dengan seberapa tepercaya dan transparan infrastruktur tersebut — dan dengan konsekuensi yang akan kami tanggung jika kepercayaan itu salah tempat.”

Pengujian pihak ketiga adalah opsi yang semakin menarik untuk mengelola risiko keamanan rantai pasokan karena pengujian internal di seluruh rantai pasokan perusahaan saat ini sering kali membutuhkan jumlah karyawan tambahan dengan keterampilan tinggi dan gaji tinggi.

Perangkat Lunak