Les 4 principaux domaines d’intervention pour sécuriser votre chaîne d’approvisionnement en logiciels

La complexité de la chaîne d’approvisionnement logicielle (SSC) peut potentiellement exposer votre organisation à des risques plus importants que jamais. Dans le paysage actuel du développement de logiciels, en évolution rapide, la gestion et la sécurisation de la chaîne d’approvisionnement logicielle sont essentielles pour fournir des versions logicielles fiables et fiables. Il est donc important d’évaluer si votre organisation est prête à gérer l’expansion continue de l’écosystème open source et une gamme toujours croissante d’outils à intégrer dans votre chaîne d’approvisionnement.

Les dirigeants qui choisissent les bons outils, processus et pratiques pour leur organisation seront en mesure d’exploiter la puissance de la chaîne d’approvisionnement logicielle la plus diversifiée que nous ayons jamais vue et, en retour, de consolider leur posture de sécurité et d’assurer leur avantage concurrentiel.

Pour aider les responsables informatiques et de la sécurité à se préparer, nous avons compilé un rapport complet qui combine les nombreuses données d’utilisation de JFrog provenant de millions d’utilisateurs, une analyse CVE méticuleuse menée par l’équipe de recherche en sécurité de JFrog et des données d’enquête tierces commandées auprès de 1 224 professionnels de la sécurité, du développement. et les rôles opérationnels. Vous trouverez ici un résumé de haut niveau des principales conclusions et recommandations du rapport. Vous pouvez également consulter le rapport complet.

Le rapport de cette année a dégagé quatre thèmes clés :

1. Une chaîne d’approvisionnement logicielle (SSC) en pleine explosion avec une vaste gamme de langages et de types de packages : Même si les organisations de développement peuvent et doivent tirer parti des langages de programmation les mieux adaptés aux besoins de leur projet, chaque langage de programmation ou type de package supplémentaire crée un vecteur de menace supplémentaire et une autre couche de complexité à gérer, tant du point de vue DevOps que de la sécurité. Pour les grandes entreprises en particulier, gérer l’utilisation sécurisée de plus de 10 technologies peut être un cauchemar sans les bons outils et processus en place.
2. Là où le risque se cache (et là où il ne se cache pas). Bien que le risque dépasse l’écosystème open source, toutes les vulnérabilités signalées ne valent pas la peine d’y remédier. Les évaluations CVSS traditionnelles examinent uniquement la gravité de l’exploit plutôt que la probabilité qu’il soit exploité, ce qui nécessite un contexte pour effectuer une évaluation efficace.
3. La sécurité nuit à la productivité : 40 % des personnes interrogées ont déclaré qu’il fallait généralement une semaine ou plus pour obtenir l’autorisation d’utiliser un nouveau package/une nouvelle bibliothèque, ce qui prolonge le délai de commercialisation des nouvelles applications et des mises à jour logicielles. De plus, environ 25 % du temps des équipes de sécurité est consacré à la correction des vulnérabilités, même lorsque ces vulnérabilités peuvent être surestimées ou même non exploitables compte tenu de leur contexte actuel.
4. Le sérieux impact de l’IA/ML. S’il est passionnant de voir les organisations franchir une étape importante en intégrant le développement de modèles ML dans leur chaîne d’approvisionnement logicielle sécurisée en gérant les modèles avec tous leurs autres artefacts logiciels, les organisations doivent être intentionnelles quant à la manière dont elles exploitent les outils basés sur l’IA et évoluer rapidement vers adopter les meilleures pratiques de sécurité pour l’utilisation du modèle.

En un mot, l’énorme quantité de changements et le rythme d’expansion en termes d’outils, de technologies et de langages disponibles aujourd’hui peuvent potentiellement mettre à rude épreuve les organisations. La stratégie de chaîne d’approvisionnement logicielle finale peut aider les entreprises à devancer leurs concurrents.

Lire le rapport complet.