😊All Things IT @AI
Últimas notícias Exibir por tópico AI? Serviços de IA OpenAI Microsoft Google Nvidia
😊All Things IT @AI

Contents

Gigantes da tecnologia enfrentam riscos crescentes na cadeia de suprimentos de software, revela relatório JFrog

 included in Ai, Ml And Deep Learning Business Business Intelligence Cloud And Data Storage Security Data Infrastructure Data Management Data Security And Privacy Data Storage And Cloud Enterprise Analytics Nlp Network Security And Privacy Programming & Development Security Ai Automation Data-Science
   1466 words   7 minutes 

A cadeia de fornecimento de software tornou-se uma área crítica de preocupação para as empresas à medida que navegam num cenário digital cada vez mais complexo e interligado. Um relatório recente da JFrog, fornecedora líder de soluções de gerenciamento da cadeia de suprimentos de software, esclarece os crescentes desafios e riscos que as organizações enfrentam para proteger seus ecossistemas de software.

O relatório “Software Supply Chain State of the Union 2024”, divulgado na semana passada, revela que a moderna cadeia de fornecimento de software é multitecnológica, multi-fontes e multinacional, com uma parcela significativa de organizações usando mais de 10 linguagens de programação. “Cerca de metade das organizações (53%) utiliza de 4 a 9 linguagens de programação, enquanto 31% utilizam mais de 10 linguagens”, afirma o relatório.

/pt/images/tech-giants-grapple-with-ballooning-software-supply-chain-risk-jfrog-report-reveals.png

Crédito da imagem: JFrog

A proliferação de pacotes e bibliotecas de software de código aberto resultou num aumento substancial na sua disponibilidade para fins de desenvolvimento de aplicações. De acordo com o relatório, Docker e npm foram classificados como os que contribuíram com mais frequência para os tipos de pacotes, enquanto o PyPI viu um aumento notável nas contribuições que pode ser atribuído à crescente adoção de aplicações de inteligência artificial e aprendizado de máquina. No entanto, esta vasta gama de opções apresenta uma infinidade de riscos de segurança para as empresas.

Em 2023, um total de mais de 26.000 vulnerabilidades e exposições comuns (CVEs) recentemente descobertas foram comunicadas por especialistas em segurança em todo o mundo, refletindo uma trajetória ascendente em termos do aumento anual de vulnerabilidades identificadas. De acordo com o relatório, os tipos de vulnerabilidades predominantes durante este período incluíram Cross-site Scripting, SQL Injection e Out-of-bounds Write, com Cross-Site Request Forgery emergindo como uma adição notável a essas categorias.

Pontuações de vulnerabilidade enganosas mascaram o risco real

Shachar Menashe, Diretor Sênior da JFrog Security Research, destacou as características enganosas das pontuações do CVSS (Common Vulnerability Scoring System) em relação à sua aplicabilidade em cenários práticos de exploração. “A própria base do sistema de pontuação CVSS exclui quaisquer vetores de ataque ‘dependentes do contexto’, apesar do fato de que cada vulnerabilidade da biblioteca depende inerentemente de suas circunstâncias específicas”, explicou Menashe durante sua conversa com nossa plataforma. Isto implica que uma vulnerabilidade que possa ser facilmente violada receberia pontuações de avaliação idênticas a uma que só pudesse ser comprometida em condições altamente excepcionais e pouco frequentes.

O estudo indica ainda que uma parte substancial, nomeadamente 74%, das Vulnerabilidades e Exposições Comuns (CVEs) com níveis de gravidade elevados e críticos entre as 100 principais imagens da comunidade Docker Hub não são realmente exploráveis ​​na prática. Isto destaca a necessidade de ir além das avaliações superficiais de vulnerabilidade e, em vez disso, realizar avaliações de risco abrangentes que levem em conta as circunstâncias únicas e as configurações do sistema do software de uma organização.

/pt/images/tech-giants-grapple-with-ballooning-software-supply-chain-risk-jfrog-report-reveals-1.png

A equipe da JFrog Security Research descobriu que 74% dos os CVEs comuns relatados com pontuações CVSS altas e críticas nas 100 principais imagens da comunidade DockerHub não são realmente explorável. (Crédito da imagem: JFrog)

Riscos ocultos espreitam nas cadeias de fornecimento de software

O estudo chama a atenção para os perigos ocultos presentes nas redes de aquisição de software, em que tanto a falibilidade humana como as informações confidenciais comprometidas contribuem substancialmente para a suscetibilidade. De acordo com as descobertas, “Uma proporção considerável da vulnerabilidade em sua cadeia de fornecimento de software decorre de erros humanos e dados confidenciais divulgados.

Menashe expandiu sua declaração anterior destacando as vantagens distintas de conduzir avaliações de segurança no nível binário, concentrando-se especificamente em compilações versus código-fonte. Isso ocorre porque tal abordagem permite a validação e verificação do código real que será executado em um ambiente de produção. Além disso, ele observou que certas vulnerabilidades podem não ser aparentes no próprio código-fonte, mas podem surgir durante o processo de compilação através do vazamento de informações confidenciais ou “segredos” que ficam anexados à imagem final do software gerada pela Integração Contínua/Implantação Contínua. pipeline (CI/CD).

Abordagens de segurança desarticuladas custam tempo e recursos valiosos

Apesar do reconhecimento crescente dos perigos potenciais representados pelas cadeias de fornecimento de software, muitas organizações continuam a lutar com estratégias de segurança fragmentadas que consomem quantidades substanciais de tempo e recursos para as equipas de desenvolvimento. De acordo com o estudo, “em média, 60% dos entrevistados indicaram que sua equipe precisa de pelo menos quatro dias por mês para resolver vulnerabilidades em aplicativos.

Menashe enfatiza a importância de priorizar vulnerabilidades por meio do uso de soluções de segurança que forneçam contexto para os resultados da verificação, em vez de simplesmente identificar a presença de CVEs. Esta abordagem pode reduzir o número de falsos positivos, que representam aproximadamente 75%, de acordo com as conclusões dos relatórios do ano passado e deste ano. Quer seja estática ou dinâmica, a verificação contextual é crucial para fornecer uma imagem mais clara das ameaças potenciais.

Embora o relatório reconheça a crescente prevalência de ferramentas de segurança de aplicações, também identifica esta tendência como um desafio que as empresas podem enfrentar. Segundo Menashe, “a proliferação de ofertas de segurança no mercado criou dificuldades para as organizações devido às inúmeras soluções pontuais disponíveis, que podem resultar em proteção incompleta, resultados conflitantes e alertas esmagadores que dificultam os processos de desenvolvimento de software.

IA e aprendizado de máquina trazem novos desafios

A integração da Inteligência Artificial (IA) e do Aprendizado de Máquina (ML) no desenvolvimento de software apresenta uma série de novos dilemas. De acordo com o estudo, “uma esmagadora maioria dos entrevistados indicou que suas organizações implementaram procedimentos para avaliar a segurança e a adesão regulatória de modelos de ML de código aberto”, mas “aproximadamente um quinto relatou que sua empresa proíbe a utilização de ferramentas de IA/ML em tarefas de programação devido a preocupações em relação à segurança e conformidade.

À luz das projeções futuras, Menashe antecipa um aumento na utilização de inteligência artificial para desenvolvimento de software, ao mesmo tempo que enfatiza os perigos potenciais associados a esta tendência. Apesar das evidências que apoiam o aumento da eficiência através da implementação do código gerado pela GenAI, é crucial que tanto os programadores individuais como as organizações reconheçam as implicações substanciais na segurança cibernética e na adesão regulamentar. Menashe pede cautela, pois as afirmações sobre a produção de código seguro pela GenAI podem não ser totalmente precisas.

Menashe enfatizou um perigo potencial para o ano de 2024, indicando que os chefes de segurança cibernética devem estar cientes da possibilidade de os adversários tirarem partido da inteligência artificial, gerando bibliotecas inexistentes através de consultas dirigidas a sistemas de IA concebidos para tarefas de programação. Esses indivíduos malévolos podem usar essa tática para produzir pacotes aparentemente autênticos que, quando incorporados inadvertidamente pelos desenvolvedores, podem resultar na introdução de software prejudicial em um sistema.

Principais recomendações para proteger cadeias de fornecimento de software

O relatório JFrog, na sua qualidade de indicador do estado atual da cadeia de fornecimento de software, funciona como um apelo às organizações para se concentrarem no reforço das suas medidas de segurança cibernética e implementarem uma estratégia holística para abordar a gestão de vulnerabilidades de software.

Menashe fornece uma série de sugestões dignas de nota para executivos de TI que buscam aprimorar a segurança de suas cadeias de fornecimento de software, incluindo:

Para se protegerem contra ameaças à segurança, as empresas devem implementar medidas para controlar o acesso a recursos externos, restringindo downloads diretos de pacotes de software de código aberto (OSS) da Internet. Em vez disso, eles deveriam utilizar uma solução de gerenciamento de artefatos (AMS) atuando como intermediário para acessar repositórios públicos. Isso permite que as organizações avaliem e filtrem os artefatos recebidos enquanto bloqueiam qualquer conteúdo prejudicial ou indesejado antes de sua entrada no ambiente de desenvolvimento. Além disso, é essencial implementar um sistema abrangente que gerencie pacotes de terceiros e OSS durante todo o processo de lançamento de software. Essa solução integra medidas de segurança uniformemente entre equipes e fluxos de trabalho, fornecendo ao pessoal de TI e de segurança uma interface unificada para monitorar e gerenciar operações. Por último, para se proteger contra alterações não autorizadas durante o processo de lançamento, as empresas devem utilizar técnicas

Através da utilização de técnicas de verificação contextual, da integração de medidas de segurança abrangentes e de uma abordagem proativa para mitigar ameaças potenciais decorrentes de código gerado por inteligência artificial, as empresas são capazes de reforçar a infraestrutura da sua cadeia de fornecimento de software, protegendo-se ao mesmo tempo contra perigos latentes presentes no seu software. ambiente.

O recente relatório JFrog sublinha a importância de uma vigilância acrescida e de uma estratégia abrangente para garantir a segurança das cadeias de fornecimento de software, dado o âmbito em constante expansão de potenciais vulnerabilidades.

*️⃣ Link da fonte:

JFrog , Estado da União da Cadeia de Fornecimento de Software 2024 ,

Updated on 2024-03-26
Back | Home