Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
10 categorias de ferramentas de segurança necessárias para reforçar a segurança da cadeia de suprimentos de software
Por Ericka Chickowski
Colaborador da OSC, OSC |
À medida que os líderes de segurança progridem no estabelecimento de programas de segurança da cadeia de suprimentos de software, eles enfrentam uma situação de boas e más notícias com as ferramentas disponíveis para eles — literalmente: a tecnologia está avançando rapidamente para o bem e para o mal.
A boa notícia do rápido avanço da tecnologia de segurança da cadeia de suprimentos de software é que o ritmo acelerado da inovação oferece oportunidades crescentes para obter maior visibilidade e transparência na vasta gama de componentes e códigos que alimentam os portfólios de software.
A má notícia, no entanto, é que a experimentação e a inovação estão indo em muitas direções diferentes ao mesmo tempo e o cenário das ferramentas é uma mistura confusa de acrônimos de categorias e produtos de nicho novos e em evolução.
Algumas delas são ferramentas de segurança de aplicativos mais tradicionais que estão avançando para serem mais amigáveis ao desenvolvedor. Outras são ferramentas de desenvolvedor tradicionais que estão aumentando os controles e recursos com foco na segurança para enfrentar o desafio dos riscos da cadeia de suprimentos. Outros ainda estão emergindo do mundo DevSecOps — criados especificamente para promover a colaboração mútua entre essas tribos.
"Uma das razões pelas quais é tão difícil obter uma imagem clara da segurança da cadeia de suprimentos de software é que há tantas peças na cadeia de suprimentos onde algo pode dar errado", disse Tom Goings, consultor de produtos da Tanium à CSO. "Você pode ter vulnerabilidades introduzidas diretamente no software, como o exemplo da SolarWinds de alguns anos atrás, vulnerabilidades em bibliotecas comuns como Log4j ou até mesmo algo como uma autoridade de certificação (CA) comprometida."
Embora várias pilhas e plataformas de produtos de segurança da cadeia de suprimentos de software estejam começando a se consolidar no mercado, a combinação de recursos desses produtos está em todo o mapa.
A principal categoria de ferramentas em que essas plataformas tendem a se concentrar é a análise de composição de software (SCA) e as ferramentas que geram listas de materiais de software (SBOMs), as chamadas "listas de ingredientes" do software moderno. Embora SCA e SBOMs tendam a formar a espinha dorsal de muitas ferramentas de segurança da cadeia de suprimentos de software, isso deve ser apenas a ponta do iceberg para os CISOs que tentam criar um roteiro para dar suporte a um programa abrangente de gerenciamento de riscos da cadeia de suprimentos.
"Quando estão olhando para a segurança da cadeia de suprimentos, as pessoas estão focadas em usar ferramentas como SCA e estão olhando para SBOMs", disse Dale Gardner, diretor sênior e analista de segurança de aplicativos do Gartner, à CSO. "Essas são partes muito importantes da solução. Mas na verdade são apenas uma solução muito parcial."
Muitas outras partes móveis estão envolvidas, incluindo gerenciamento de segredos, mapeamento e gerenciamento de dependências, segurança de pipeline de CI/CD, gerenciamento de repositório eficaz e muito mais. A maioria dos especialistas concorda que as equipes de segurança serão pressionadas para encontrar tudo o que precisam de um único fornecedor.
"Eu diria que não existe um único fornecedor que lide com todos os desafios associados à segurança da cadeia de suprimentos de software de uma forma que atenda aos requisitos de todas as organizações", explica Michael Born, gerente sênior de segurança de aplicativos da empresa de consultoria Coalfire. Ele diz ao CSO que a falta de consolidação não é necessariamente uma coisa ruim. “Isso potencialmente colocaria as organizações em riscos associados ao bloqueio do fornecedor e poderia significar que a organização amadurece ou muda mais rapidamente do que o fornecedor poderia acompanhar”.
Essa fragmentação é resultado não apenas da inovação orgânica proveniente de várias perspectivas técnicas diferentes (ferramentas focadas em desenvolvimento, ferramentas focadas em operações, ferramentas focadas em segurança), mas também do fato de que há uma variedade de casos de uso diferentes sendo abordados.
"Precisamos ser bastante específicos sobre qual risco ou caso de uso estamos falando para poder encontrar as soluções de software certas ou o tipo geral de pilha de soluções para poder resolvê-los", explica Sharon Chand, o líder da cadeia de suprimentos segura de risco para a prática de serviços de risco cibernético da Deloitte. "Porque o tipo de solução que eu realmente preciso dependerá de onde eu me encontro nesse cenário de segurança da cadeia de suprimentos de software. Se eu for um produtor de software, parecerá diferente de se eu for um consumidor de software. E mais frequentemente do que nem todo mundo vai ser ambos em certos pontos do ciclo de vida geral da cadeia de suprimentos."