介绍
软件组合分析(SCA)工具涉及识别已内置或支持应用程序的开源库和工具,该标识是有助于评估未解决的代码,许可问题和潜在的安全漏洞的标识。根据451企业的声音,信息安全研究,新创建的应用程序中开源百分比的持续增长导致SCA的使用百分比显着增加。
451拿
应用程序仍然是不良行为者进行安全攻击的目标,尤其是作为基础架构摘要,并且变得更加坚固。开源漏洞在攻击方案中特别有吸引力,因为它们代表了可以在应用程序中使用的一种漏洞,这是本来可以自定义应用程序的已知元素。同时,使用开源代码或工具与使用任何库一样自然的开发人员到达了整个开发人员。在竞争激烈的时间范围内,他们将集中精力将应用程序缝合在一起的自定义代码,而不是重新开发已经可以访问的代码的功能。几年前,询问申请是否包含开源代码很重要。现在,相关问题是应用程序中开源的组成,一些来源指出,对于新书面的应用程序,该数字高于50%。鉴于这种不断上升的组成 - 以及一个巨大的数据泄露,证明了不管理开源风险的成本 - 看到SCA在去年的增长并不令人惊讶。
软件组成分析增长
下图显示了两年对企业的声音,信息安全研究的响应,当询问受访者是否有SCA解决方案,或者如果没有,他们的实施计划是什么,如果有的话:
这些数字讲述了一个相当简单的故事:参加该研究的所有企业中有13%在2018年已经实施了SCA,其中11%的人计划在不久的将来添加SCA的计划相当可靠。2019年,使用SCA的调查企业中,该公司上升到21%,而有12%的人报告处于试点阶段。在2019年有SCA的人中,有一半计划在明年增加支出。较大的公司更有可能实施SCA(就像他们更有可能进行内部应用程序开发):那些拥有1000多名员工的组织有32%的时间使用SCA。采用技术采用方法也有所不同:在技术采用的早期采用方面,有24%的人已经具有SCA。最后,尽管有38%的受访者拥有任何类型的应用程序安全解决方案,但在进行内部应用程序开发的组织中,最多可射出47%,而这些组织中有30%已实施SCA。
可能有两个主要驱动因素,上面确定的首先是现代应用程序中开源成分的兴起,需要进行管理。除了安全性外,还扩展到许可管理,补丁程序或版本管理,并仅确保组织中未实施数百个不同版本的同一开源库。不过,第二个司机遵循了桑塔亚纳(Santayana)的格言:“那些不记得过去的人被谴责为重复。”
大违反
2014年发现的OpenSL中的Heartble Bug是在广泛使用的开源库中广泛宣传的缺陷。2017年的Equifax违规引发了类似的响应,其挥之不去的效果仍在企业安全技术的相对构造采用曲线中发挥作用。
Equifax的违规行为导致了约14亿美元的成本,影响了1.4亿美元,并导致行政辞职。费用大大了,大部分负担落在第三方,那些对公司的安全姿势或事件响应没有洞察力或控制。Equifax基于该反应遭到了很多批评,在宣布Struts脆弱性之间,几个月来,这是袭击者的入口点,违反,违规发生,发现以及最终披露。
许多批评集中在Equifax的反应中,是一个案例研究,如何不处理数据泄露。但是,具有修复程序的开源漏洞的切入点是相关的。在安全行业的Tut-Tuts中,有33%的IT专业人员以451个企业的声音透露:数字脉冲研究(请参见上面的图2),他们很确定他们的组织是否会以相同的方式妥协,而70%承认这种可能性。这如何推动开源风险评估?有时候,这是关于从他人的错误中学习:
“ [受到违规],更多的是评估我们的整体姿势,并试图调整任何新威胁或您在Equifax或其他大型违规中看到的东西。损害的损失?因此,查看那些大违规行为,调整我们的安全计划和工作计划,这绝对是一个总体主题。”
- IT/工程经理和员工,2,000-4,999名员工,1-249亿美元,电信
许多批评集中在Equifax的反应中,是一个案例研究,如何不处理数据泄露。但是,具有修复程序的开源漏洞的切入点是相关的。在安全行业的Tut-Tuts中,有33%的IT专业人员以451个企业的声音透露:数字脉冲研究(请参见上面的图2),他们很确定他们的组织是否会以相同的方式妥协,而70%承认这种可能性。这如何推动开源风险评估?有时候,这是关于从他人的错误中学习:
“ [受到违规],更多的是评估我们的整体姿势,并试图调整任何新威胁或您在Equifax或其他大型违规中看到的东西。损害的损失?因此,查看那些大违规行为,调整我们的安全计划和工作计划,这绝对是一个总体主题。”
- IT/工程经理和员工,2,000-4,999名员工,1-249亿美元,电信
下一步是什么?
SCA offerings differentiate themselves in a number of ways: how far beyond the National Vulnerability Database (NVD) they’re able to go to, the ease of patching (sometimes whether an official patch is available or not), and the actual usage (not just presence) of open source components. But a definite schism is beginning to open between offerings that were early to market and some of the features, or integrations with larger application security testing (AST) toolsets that have emerged since:
该行业肯定已经吸引了[我的SCA供应商]。我会说大概有60%(我们可能会切换]…。就像我在做我的合规性一样,正在做我的开发部分。然后,我们必须让他们采用与刚刚扫描的代码,并将其放入开源扫描中……..所以您必须进行两次扫描。开发人员一次运输并获得两次[报告]会容易得多。
–Senior Management,10,000-49,999,$ 5-999亿美元,电信
我们指出了去年相当强烈现代应用开发的速度以及DevOps工具链的有机标准化既强迫和启用了系统开发生命周期的AST。企业信息安全数据的声音显示,AST向应用程序开发的构建阶段剩下的转变,尤其是开发人员对AST工具的使用范围更大。适应这些条件将是SCA未来的战场。正如上面的引用所指出的那样,诸如对静态分析和SCA结果进行一次扫描之类的简单事物只是渴望提高效率的一个例子。供应商已通过IDE或浏览器插件作为开发人员搜索相关的开源软件进行了集成了SCA检查,甚至是浏览器插件。支持对SCA的低摩擦方法,使开发人员能够使用开放源代码,同时防止蔓延并降低组织级别的安全风险,这将继续是SCA供应商未来的关键区别。
例如,事后扫描仍然适用于某些用例 - 例如,在合并或收购中评估应用程序或对组织的开源风险进行时间点评估。但是,越来越多地通过在开发商日常运营中内置的流程来实现足够的开源风险覆盖范围,并通过报告使安全团队能够随着时间的推移对组织的开源风险姿势获得精确的看法。
该行业肯定已经吸引了[我的SCA供应商]。我会说大概有60%(我们可能会切换]…。就像我在做我的合规性一样,正在做我的开发部分。然后,我们必须让他们采用与刚刚扫描的代码,并将其放入开源扫描中……..所以您必须进行两次扫描。开发人员一次运输并获得两次[报告]会容易得多。
–Senior Management,10,000-49,999,$ 5-999亿美元,电信
我们指出了去年相当强烈现代应用开发的速度以及DevOps工具链的有机标准化既强迫和启用了系统开发生命周期的AST。企业信息安全数据的声音显示,AST向应用程序开发的构建阶段剩下的转变,尤其是开发人员对AST工具的使用范围更大。适应这些条件将是SCA未来的战场。正如上面的引用所指出的那样,诸如对静态分析和SCA结果进行一次扫描之类的简单事物只是渴望提高效率的一个例子。供应商已通过IDE或浏览器插件作为开发人员搜索相关的开源软件进行了集成了SCA检查,甚至是浏览器插件。支持对SCA的低摩擦方法,使开发人员能够使用开放源代码,同时防止蔓延并降低组织级别的安全风险,这将继续是SCA供应商未来的关键区别。
例如,事后扫描仍然适用于某些用例 - 例如,在合并或收购中评估应用程序或对组织的开源风险进行时间点评估。但是,越来越多地通过在开发商日常运营中内置的流程来实现足够的开源风险覆盖范围,并通过报告使安全团队能够随着时间的推移对组织的开源风险姿势获得精确的看法。
丹尼尔·肯尼迪
研究主任,企业之声:信息安全
丹尼尔·肯尼迪(Daniel Kennedy)负责管理研究过程的所有阶段。他是一位经验丰富的信息安全专家,曾为《福布斯》在线和齐夫·戴维斯(Ziff Davis)撰写过撰写,并为包括《纽约时报》和《华尔街日报》在内的众多新闻媒体提供了评论,他的个人博客普拉托里安州长被公认为是前五名之一RSA 2010会议上的信息安全技术博客。
杰里米·科恩(Jeremy Korn)
研究助理
杰里米·科恩(Jeremy Korn)是451研究的研究助理。188宝金博网址是多少他毕业于布朗大学,获得了生物学和东亚研究学士学位,并接受了
亚伦·谢里尔(Aaron Sherrill)
高级分析师
亚伦·谢里尔(Aaron Sherrill)是451位研究的高级分析师,涵盖了188宝金博网址是多少新兴趋势,创新