3 Tendances critiques et meilleures pratiques en matière de sécurité du développement logiciel

Il semble que nous rencontrions chaque jour de nouvelles cybermenaces et que la gravité de leur impact ne cesse de croître. Nous traitons désormais régulièrement des vulnérabilités zero-day et des attaques hybrides, et lorsque nous sommes confrontés à des incidents tels que Log4Shell, nous comptons sur un groupe de volontaires pour protéger le code profondément intégré dans les systèmes essentiels.

Ces événements ont poussé les équipes de sécurité à repenser ce qu’elles font et à se concentrer sur des approches proactives ancrées dans la sécurité du développement logiciel au-delà du « correction et prière ». Pour atteindre cet objectif, les équipes de sécurité doivent tenir compte des tendances critiques suivantes en matière de sécurité du développement logiciel pour 2022, ainsi que des réponses aux « meilleures pratiques » à celles-ci.

1. La surface d’attaque croissante des chaînes d’approvisionnement logicielles
La majeure partie de la couverture médiatique des menaces de la chaîne d’approvisionnement logicielle s’est concentrée sur les gestionnaires de packages open source, les packages tiers et une poignée de violations de systèmes courants tels que Microsoft Exchange et l’outil de gestion de réseau SolarWinds. Nous avons également été témoins de l’augmentation rapide du nombre d’attaques et de leur ampleur, ciblant tous les coins et recoins de la chaîne d’approvisionnement.

Les gestionnaires de paquets sont le point d’entrée évident. Mais il y en a beaucoup d’autres, en commençant par les environnements de développement et en procédant à la fusion des systèmes de file d’attente, des plug-ins/add-ons aux référentiels de code, des systèmes d’intégration continue/livraison continue, des outils de sécurité des applications et des outils de distribution de versions logicielles. Tout cela combiné laisse des dizaines et parfois des centaines de points d’entrée potentiels dans le processus de développement et ce nombre augmente à mesure que le nombre d’outils et de solutions utilisés par des équipes plus autonomes continue d’augmenter. Attendez-vous donc à voir des menaces inédites sur la chaîne d’approvisionnement à mesure que la surface d’attaque ne cesse d’augmenter.

Meilleur entrainement: Chaque entreprise doit créer un inventaire de la chaîne d’approvisionnement logicielle pour capturer chaque point d’insertion potentiel et permettre une approche programmatique pour traiter les risques tout au long de la chaîne.

2. L’année où le SBOM se généralise
Conceptuellement, la nomenclature logicielle (SBOM) existe depuis plusieurs années. L’idée de base d’un SBOM est simple : chaque application logicielle doit avoir une « nomenclature » ​​qui répertorie tous les composants de l’application. Cela reflète la nomenclature de tous les produits électroniques du monde physique.

Deux organisations de premier plan, la Linux Foundation et l’Open Web Application Security Project (OWASP), disposent de technologies SBOM : Software Package Data Exchange (SPDX) et Cyclone, respectivement. Cependant, l’adoption des deux normes SBOM a été lente. Le gouvernement fédéral américain est maintenant sur l’affaire, poussant l’industrie à renforcer la chaîne d’approvisionnement. Cela peut inclure des mandats SBOM pour les logiciels utilisés par les agences gouvernementales.

Meilleur entrainement: Les entreprises qui n’utilisent pas encore SBOM devraient envisager d’adopter les normes SBOM pour un projet pilote. Cela donnera aux organisations une expérience avec l’une des normes ou les deux, et avec l’utilisation de SBOM comme facteur de déclenchement pour les versions de logiciels et les pratiques de sécurité des applications.

3. Zero Trust devient intégré dans le génie logiciel
Nous entendons surtout parler de confiance zéro dans le contexte de l’authentification des utilisateurs/demandes/transactions et de la vérification continue de l’identité. Cependant, nous n’entendons pas souvent parler de l’application d’une confiance zéro à l’extrême gauche de la chaîne d’approvisionnement logicielle, dans les cycles de développement et DevOps. En fait, on pourrait dire que la confiance zéro n’est qu’une réflexion après coup ici.

En ciblant les chaînes d’approvisionnement, les attaquants s’appuient presque toujours sur la présence de confiance dans les systèmes, qu’il s’agisse de packages, de systèmes de contrôle de version ou d’identités de développeurs basées uniquement sur des actions et des commentaires virtuels. En réponse, les équipes de sécurité devraient commencer à envisager la mise en œuvre de politiques et de systèmes de confiance zéro au plus profond du processus de développement afin de mieux protéger leurs applications depuis le code source.

Meilleur entrainement: Assurez-vous que chaque segment de votre chaîne logistique de développement de logiciels applique au minimum une authentification à deux facteurs. Découvrez ensuite comment ajouter des facteurs supplémentaires pour établir une authentification continue.

Conclusion
La cybersécurité a toujours consisté à reconnaître et à réagir aux tendances, ainsi qu’à anticiper et à se préparer aux attaques, qu’elles soient familières ou inconnues. En 2022, les équipes de sécurité devraient se concentrer sur la protection des chaînes d’approvisionnement logicielles tout en mettant en œuvre SBOM et Zero Trust. En conséquence, les organisations garderont une longueur d’avance sur les développements critiques, au lieu de prendre du retard sur eux.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite