يظل أمان سلسلة توريد البرامج يمثل تحديًا لمعظم المؤسسات

ربما يكون Log4j، أكثر من أي مشكلة أمنية حديثة أخرى في السنوات الأخيرة، قد ألقى بأمن سلسلة توريد البرمجيات إلى دائرة الضوء، حتى مع مشاركة البيت الأبيض فيها. ولكن على الرغم من أن كل مسؤول تنفيذي في مجال التكنولوجيا تقريبًا يدرك على الأقل أهمية إنشاء نظام جدير بالثقة وجدير بالثقة سلسلة توريد البرمجيات الآمنة، لا يزال معظمهم يعانون من كيفية تنفيذ الإستراتيجية بشكل أفضل حولها.

يستمر عدد CVEs (نقاط الضعف والتعرضات الشائعة) في الزيادة بوتيرة ثابتة ولا توجد حاوية لا تتضمن على الأقل بعض نقاط الضعف. قد يكون بعضها موجودًا في مكتبات لا يتم استخدامها حتى عندما تكون الحاوية قيد الإنتاج، ولكنها تمثل نقاط ضعف مع ذلك.

وفقًا لأحدث تقرير عن الحاويات من Slim.ai، تنشر المؤسسة المتوسطة الآن ما يزيد عن 50 حاوية من مورديها كل شهر (وحوالي 10% منها تنشر أكثر من 250 حاوية). ومع ذلك، قال 12% فقط من قادة الأمن الذين استجابوا لاستطلاع Slim.ai إنهم تمكنوا من تحقيق أهدافهم الخاصة بمعالجة نقاط الضعف. يقول الجميع أنهم يكافحون “بشكل كبير” أو يرون مجالًا كبيرًا للتحسين. وبينما تضغط جميع هذه المؤسسات على مورديها لتحسين موقفهم الأمني ​​وتقديم الخدمات، لا يتمكن البائعون والمشترون في كثير من الأحيان من الاتفاق على أي من برامج مكافحة التطرف العنيف التي تحتاج بالفعل إلى التصحيح في حاوية.

وكما أخبرتني عائشة كايا، نائبة رئيس قسم الرؤى والتحليلات الإستراتيجية في Slim.ai، فإن التفاعل بين المشترين والبائعين غالبًا ما يكون مدفوعًا بتبادل جداول البيانات والاجتماعات المخصصة بين مجموعات الأمان. وفقًا لتقرير الشركة، الذي أنشأته بالشراكة مع شركة الأبحاث Enterprise Strategy Group، لا تزال هذه هي الطريقة التي تتبادل بها 75% من المؤسسات المعلومات مع مورديها، على الرغم من أن جميع قادة الأمن تقريبًا (84%) يتطلعون إلى رؤية منصة تعاون مركزية لـ إدارة نقاط الضعف. ومع ذلك، في الوقت الحالي، يبدو أن إرسال جداول البيانات ذهابًا وإيابًا عبر البريد الإلكتروني لا يزال يمثل أحدث التقنيات.

اعتمادات الصورة: Slim.ai

كل هذا يؤدي حتما إلى عدم الكفاءة. قالت غالبية المؤسسات التي استجابت للاستبيان إنها توظف ستة متخصصين أو أكثر يركزون على معالجة نقاط الضعف (حيث يوظف ربع المشاركين أكثر من 10 متخصصين). إحدى المشاكل الرئيسية في الصناعة هي أن أكثر من 40% من التنبيهات التي تتلقاها هذه الفرق هي نتائج إيجابية كاذبة – غالبًا ما تكون للمكتبات التي قد تكون جزءًا من حاوية ولكن لا يتم استخدامها في الإنتاج. ولهذا السبب، تدافع Kaya على سبيل المثال بشكل كبير عن إنشاء الحد الأدنى من صور الحاويات. يمكن للمرء أن يجادل بأن هذا ينبغي أن يكون أفضل الممارسات على أي حال، لأنه يخلق سطح هجوم أصغر ويقلل من النتائج الإيجابية الكاذبة

ليس فقط فرق الأمن هي التي يتعين عليها التعامل مع نقاط الضعف هذه، بالطبع. كل هذه الجهود تؤدي إلى إبطاء عملية التطوير الشاملة أيضًا. تشهد معظم الشركات بعض الاضطرابات عدة مرات في الأسبوع لأنها تكتشف ثغرة أمنية في حاوية الإنتاج، على سبيل المثال. وفقًا لتقرير Slim.ai، تشهد الحاوية المتوسطة الآن إصدارًا جديدًا كل 11 يومًا تقريبًا وتتأثر الحاوية المتوسطة الآن بـ 311 من التهديدات الخطيرة (ارتفاعًا من 282 في عام 2022). كل هذا يعني المزيد من العمل، والمزيد من الانقطاعات، وبذل المزيد من الجهد في العمل مع البائعين لإصلاحها.