介绍
软件成分分析(SCA)工具涉及自己识别已内置或支持应用程序的开源库和工具,该标识有助于评估未划分的代码,许可问题和潜在的安全漏洞。根据451的企业的声音,信息安全研究,新创建的应用中的开源百分比和一个大数据漏洞的持续增长导致使用百分比的使用百分比显着增加。
451拿走
应用程序仍然是不良演员的安全攻击的目标,特别是作为基础设施摘要并变得更加硬化。开源漏洞在攻击方案中特别有吸引力,因为它们代表了一种可以跨应用程序使用的漏洞,其否则自定义应用程序的已知元素。与此同时,整个生成的开发人员已经到达,使用开源代码或工具与使用任何库一样自然。在竞争时间框架中,它们将集中在定制代码上,将应用程序串联拼接在一起,而不是重新开发代码可访问的函数。几年前,询问应用程序是否有开源代码是相关的;现在相关问题是应用程序中的开源的组成,一些消息来源,注明新写的应用程序的数量高于50%。鉴于这种上升的构成 - 以及一个巨大的数据违约,表明了不管理开源风险的成本 - 在去年看到SCA的增长感到很惊讶。
软件成分分析增长
下图显示了两年期间的响应,以企业的声音,信息安全研究当被询问他们是否有SCA解决方案,或者如果没有,如果有的话,他们的实施计划是什么:
这些数字讲述了一个相当简单的故事:参加该研究的所有企业的13%于2018年就有了SCA,其中11%的计划在不久的将来加入SCA。2019年,升至使用SCA的调查企业的21%,12%报告处于试点阶段。在2019年的SCA的人中,有一半计划在明年增加支出。较大的公司更有可能实现SCA(就像他们更有可能在内部申请开发一样):那些拥有1,000多名员工的组织有32%的时间使用SCA。技术采用的方法也有所不同:24%在技术采用早期采用方面认为自己更多的人已经有了SCA。最后,虽然38%的受访者有任何类型的应用安全解决方案,在内部申请开发的这些组织中,高达47%的射击,其中30%的组织已经实施了SCA。
有可能两个主要驱动因素,上面第一次确定的是现代应用中的开源组合的兴起,需要控制它。超越安全性,它延伸到许可证管理,补丁或版本管理,并且只需确保在组织中没有实现数百个不同版本的相同开源库。然而,第二个司机跟随圣塔纳阿波教:“那些不记得过去的人被谴责重复它。”
一个大违规行为
Openssl中的Hellbleed Bug在2014年发现,在广泛使用的开源库中是一个高度公布的缺陷,导致许多组织考虑其软件供应链的曝光以开源风险,并推动了一定程度的SCA。2017年的Equifax漏扰引发了类似的响应,其挥之不去的效果仍在企业安全技术的相对构造采用曲线中阐明。
EquifaxBreac区的成本导致了140亿美元,影响了1.4亿人,并导致执行辞职。费用超出了,而且大部分负担落在第三方,没有见解或控制该公司的安全姿势或事件回应。Equifax基于该响应的批评批评,几个月,在宣布被宣布的攻击者的入学点披露,违约,发现,终于其披露。
大部分批评中心关于Equifax的回应是如何在如何不处理数据违规行为的情况下的案例研究。但是开源漏洞的入口点,一个有修复的修复,是相关的。在安全行业的TUT-TUTS中,33%的IT专业人士在企业的451个声音中透露:数字脉冲研究(见上图2),他们非常肯定他们的组织可能因同一方式受到影响,70%承认可能性。这是如何推动前进的开源风险评估?有时它是关于从他人的错误中学习:
“[违反违规者]更多的是评估我们的整体姿势,并试图调整任何新威胁或您在Equifax或其他大型违规状态中所看到的。我们必须做些什么来保护,或识别限制对此的损害?所以它绝对是一个整体主题,看着那些大违规,调整我们的安全计划和工作计划。“
- IT /工程管理人员和工作人员,员工2,000-4,999名,1-2.49亿美元,电信
大部分批评中心关于Equifax的回应是如何在如何不处理数据违规行为的情况下的案例研究。但是开源漏洞的入口点,一个有修复的修复,是相关的。在安全行业的TUT-TUTS中,33%的IT专业人士在企业的451个声音中透露:数字脉冲研究(见上图2),他们非常肯定他们的组织可能因同一方式受到影响,70%承认可能性。这是如何推动前进的开源风险评估?有时它是关于从他人的错误中学习:
“[违反违规者]更多的是评估我们的整体姿势,并试图调整任何新威胁或您在Equifax或其他大型违规状态中所看到的。我们必须做些什么来保护,或识别限制对此的损害?所以它绝对是一个整体主题,看着那些大违规,调整我们的安全计划和工作计划。“
- IT /工程管理人员和工作人员,员工2,000-4,999名,1-2.49亿美元,电信
下一步是什么?
SCA offerings differentiate themselves in a number of ways: how far beyond the National Vulnerability Database (NVD) they’re able to go to, the ease of patching (sometimes whether an official patch is available or not), and the actual usage (not just presence) of open source components. But a definite schism is beginning to open between offerings that were early to market and some of the features, or integrations with larger application security testing (AST) toolsets that have emerged since:
该行业肯定赶上了[我的SCA供应商]。我会说最可能60%[可能会让我们切换] ......这就像我正在做我的合规性,我正在做我的开发部分。然后我们必须让他们采取与他们刚刚扫描的相同代码并将其放入开源扫描中...... ..所以你必须做两个扫描。开发人员一次发货将更容易,并获得两份[报告]。
- 森里管理,10,000-49,999,$ 5-9.99bn,电信
我们做了这一点去年相当强调现代应用开发的步伐以及Devops Toolchains的有机标准化,既强迫并在系统开发生命周期中迫使AST。企业信息安全数据的声音显示了剩余的班次对应用程序开发的建设阶段以及特别是开发人员更大的AST工具使用。适应这些条件将是SCA的战场。随着上述引用的指出,简单的事情,如运行单一扫描,用于静态分析和SCA结果,但渴望更高效率的一个例子。供应商对代码提交的集成SCA检查,IDE或甚至作为浏览器插件作为开发人员搜索相关的开源软件。支持SCA的低摩擦方法,使开发人员能够使用开源,同时防止蔓延和减少组织级别的安全风险将继续成为SCA供应商的关键差异化因素。
事后扫描仍然适用于某些用例 - 评估合并或收购中的申请或进行组织的开源风险的时间点评估。然而,越来越多地覆盖开源风险的覆盖范围只能通过开发人员日常运营中的持续流程来实现,其中报告允许安全团队随着时间的推移获得本组织的开源风险姿势的精确观点。
该行业肯定赶上了[我的SCA供应商]。我会说最可能60%[可能会让我们切换] ......这就像我正在做我的合规性,我正在做我的开发部分。然后我们必须让他们采取与他们刚刚扫描的相同代码并将其放入开源扫描中...... ..所以你必须做两个扫描。开发人员一次发货将更容易,并获得两份[报告]。
- 森里管理,10,000-49,999,$ 5-9.99bn,电信
我们做了这一点去年相当强调现代应用开发的步伐以及Devops Toolchains的有机标准化,既强迫并在系统开发生命周期中迫使AST。企业信息安全数据的声音显示了剩余的班次对应用程序开发的建设阶段以及特别是开发人员更大的AST工具使用。适应这些条件将是SCA的战场。随着上述引用的指出,简单的事情,如运行单一扫描,用于静态分析和SCA结果,但渴望更高效率的一个例子。供应商对代码提交的集成SCA检查,IDE或甚至作为浏览器插件作为开发人员搜索相关的开源软件。支持SCA的低摩擦方法,使开发人员能够使用开源,同时防止蔓延和减少组织级别的安全风险将继续成为SCA供应商的关键差异化因素。
事后扫描仍然适用于某些用例 - 评估合并或收购中的申请或进行组织的开源风险的时间点评估。然而,越来越多地覆盖开源风险的覆盖范围只能通过开发人员日常运营中的持续流程来实现,其中报告允许安全团队随着时间的推移获得本组织的开源风险姿势的精确观点。
丹尼尔肯尼迪
研究主任,企业之声:信息安全
Daniel Kennedy负责管理研究过程的所有阶段。他是一位经验丰富的信息安全专业人员,他们为福布斯(Ziff Davis)编写,为纽约时报和华尔街日报等众多新闻网点提供了评论,他的个人博客Praetorian州被认为是前五名之一RSA 2010会议的信息安全技术博客。
Jeremy Korn.
研究助理
Jeremy Korn是451研究的研究助理。www.yabo11vip.com他毕业于布朗大学,并在生物学和东亚研究中毕业,并收到了BA
Aaron Sherrill.
高级分析师
Aaron Sherrill是451项研究的高级分析师,涵盖了新兴趋势,创新www.yabo11vip.com