تسلط الدراسة الضوء على أفضل ممارسات سلسلة توريد البرامج الآمنة
أحدث إصدار من كتاب سوزي تأمين السحابة وجد التقرير أن كل صانع قرار في مجال تكنولوجيا المعلومات تقريبًا الذي تم استطلاع آرائه يشعر بالقلق بشأن المخاطر الأمنية المرتبطة بأجهزته. سلسلة توريد البرمجيات.
ووجدت نسخة عام 2024 من التقرير، التي استندت إلى استطلاع شمل 820 من مهندسي تكنولوجيا المعلومات والمهندسين المعماريين والمطورين ومديري الأمن والمديرين التنفيذيين، أن 94% من صناع القرار في مجال تكنولوجيا المعلومات يعتزمون مراجعة سلسلة توريد البرامج الخاصة بهم لزيادة الأمان.
يفكر ما يقرب من نصف (46%) من صناع القرار في مجال تكنولوجيا المعلومات الذين شملهم الاستطلاع في اعتماد العمليات والأدوات المستخدمة في بناء البرامج كإجراء رئيسي للتخفيف من مخاطر وتأثير هجمات سلسلة التوريد
وفي التقرير، قال سوزي إن بيانات المسح تظهر أن التدقيق الداخلي للبرمجيات ويعتبر الإجراء الأكثر أهمية للتخفيف من مخاطر وتأثير هجمات سلسلة التوريد.
يعتقد واحد من كل أربعة من صناع القرار في مجال تكنولوجيا المعلومات أن شهادات الأمان المتعلقة بسلسلة التوريد المعترف بها من قبل الحكومة (25%) ستصبح ذات أولوية أكبر بالنسبة لهم خلال الأشهر الاثني عشر المقبلة. يعتقد صناع القرار في مجال تكنولوجيا المعلومات أيضًا أن إمكانية تدقيق التعليمات البرمجية المصدرية (14%)، وجودة البناء (15%)، أو عمق فاتورة المواد البرمجية (SBOM) والجودة والأمان (24%) سيتم إعادة تقييمها صعودا في السنوات القليلة المقبلة لتصبح أكثر أولوية.
وقد أجرى التقرير استطلاعاً لآراء صناع القرار في مجال تكنولوجيا المعلومات في الولايات المتحدة وألمانيا والمملكة المتحدة وفرنسا وهولندا. ويعتقد المقيمون في الولايات المتحدة وأوروبا أن الأهداف المتعلقة بإمكانية تدقيق التعليمات البرمجية المصدرية (14%) سوف يعاد تقييمها، مع أدنى نسبة في ألمانيا (11%) وأعلى نسبة في هولندا (19%)، تليها فرنسا (17%). وعلى نحو مماثل، عندما سئل المستجيبون في الولايات المتحدة (20%) وألمانيا (20%) عن إعادة تقييم عمق وجودة وأمان SBOM، اتفق المستجيبون في الولايات المتحدة (20%) وألمانيا (20%) على هذا الرأي. ونسبت أوروبا كمجموعة احتمالية أعلى (26%)، وكانت المملكة المتحدة (30%) هي الأقوى في الموافقة.
ومع ذلك، أشار سوزي إلى أن قرار إعادة تقييم جودة بناء سلاسل توريد البرامج الخاصة بهم يظل مسألة مثيرة للانقسام. وكتب مؤلفو التقرير: “بينما كان المستجيبون الأوروبيون في العام الماضي أكثر ميلاً (40%) للاعتقاد بهذا مقارنة بالمستجيبين الأميركيين (15%)، فقد انعكست الأدوار هذا العام، حيث اعتقد المزيد من صناع القرار من الولايات المتحدة (24%) أن هذا هو الحال مقارنة بأوروبا (12%)”.
كما وجد سوزي أن الإجابات على الأسئلة المتعلقة بمخاطر سلسلة توريد البرمجيات كانت تعتمد على الدور الحالي للمستجيبين في العمل. وأفاد الاستطلاع أن أولئك الذين يعملون كمهندسين للبرمجيات والشبكات أو مهندسين معماريين فنيين أو مطورين هم أكثر ميلاً للاعتقاد بأن الأهداف المتعلقة بإمكانية تدقيق التعليمات البرمجية المصدرية سوف يتم إعادة تقييمها (24% مقابل 14% في المتوسط)، ولكنهم أقل ميلاً للاعتقاد بأن الأهداف المتعلقة بعمق سلسلة توريد البرمجيات والجودة والأمان سوف يتم إعادة تقييمها (20% مقابل 23% في المتوسط).
ولتخفيف مخاطر وتأثير هجمات سلسلة التوريد، فإن التدابير الأكثر شيوعًا التي يستخدمها صناع القرار في مجال تكنولوجيا المعلومات الذين شملهم الاستطلاع تشمل عمليات التصديق والأدوات المستخدمة في بناء البرامج (46%)، والاستفادة من البرامج المدعومة من قبل مزودي البرامج الرئيسيين (44%) والتدقيق الداخلي للبرامج (43%).
تعتبر عمليات اعتماد الأدوات والعمليات المستخدمة في بناء البرامج أكثر أهمية في الولايات المتحدة (59%) مقارنة بأوروبا (41%).
وأفاد سوزي أيضًا أن التدقيق الداخلي للبرمجيات يعد إجراءً أكثر شيوعًا بشكل كبير في ألمانيا (53%) مقارنة بالمملكة المتحدة وهولندا (كلاهما 38%)، مع فرنسا في المتوسط (43%).