A ReversingLabs elemzése feltárja, hogy ki kell bővíteni a nemzeti sebezhetőségi adatbázist az új szoftver-ellátási lánc hibáival.

ReversingLabs US, Inc.

Az eredmények azt mutatják, hogy a nyílt forráskód hibái hozzájárulnak ahhoz, hogy 2022-ben meredeken emelkedjen a Nemzeti Sebezhetőségi Adatbázisba érkező jelentések száma; A tanulmány bemutatja, hogy a feltörekvő szoftverellátási támadások hogyan indokolják az NVD új szempontjait – és a szervezetek szoftverbiztonsági megközelítését

ReversingLabs NVD Analysis 2022: Felhívás a szoftver-ellátási lánc biztonságáért

A ReversingLabs, a szoftver-ellátási lánc biztonságának vezető vállalata ma kiadott egy új kutatási jelentést címmel

A ReversingLabs, a szoftver-ellátási lánc biztonságának vezető vállalata a mai napon új kutatási jelentést adott ki „NVD Analysis 2022: A Call to Action on Software Supply Chain Security” címmel, amely azt jósolja, hogy 2022-re felállítja a korábbi rekordot a bejelentett nemzeti sérülékenységgel kapcsolatos új sebezhetőségek tekintetében. meg fogja haladni. Adatbázis (NVD) – rekord 2021-ben.

CAMBRIDGE, Mass., 2022. augusztus 11. (GLOBE NEWSWIRE) – A ReversingLabs, a szoftver-ellátási lánc biztonságának vezető vállalata ma új kutatási jelentést adott ki „NVD Analysis 2022: A Call to Action on Software Supply Chain Security” címmel. előrejelzése szerint 2022 meg fogja haladni a Nemzeti Sebezhetőségi Adatbázisban (NVD) jelentett új sebezhetőségek korábbi rekordját – ez a rekord 2021-ben. Az elemzés előrejelzése szerint a 2022-es naptári évben több mint 24 000 CVE-t (általános sebezhetőséget és kitettséget) regisztrál majd az NVD. , 22%-os növekedés 2021 óta.

Az NVD-nek jelentett új CVE-k hulláma azonban kevésbé tükrözi a szoftverminőség hanyatlását, mint az NVD szélesebb köre és a CVE-számozási hatóságként (CNA-ként) részt vevő vállalatok és országok növekvő száma – állapítja meg a ReversingLabs elemzése. a Lemos Associates által végzett kutatás.

Az alkalmazásfejlesztő csapatok és a szoftverbiztonságért felelős személyek számára azonban a szoftverellátási lánc támadásainak számottevő növekedése cselekvésre ösztönöz. Ez egyben reformfelhívás is. Az NVD nélkülözhetetlen erőforrás mind a szoftverfejlesztési, mind a biztonsági szervezetek számára; hatókörének túl kell lépnie az örökölt platformokon előforduló gyakori szoftversebezhetőségeken, hogy jobban tükrözze a biztonsági rések nagyságát (a CVE-ben az „E”) – ideértve a rosszindulatú programok befecskendezését, a szoftvermanipulációt és a titkoknak való kitettséget, amelyek veszélyeztetik a szoftverellátási lánc integritását.

Az új ReversingLabs jelentés legfontosabb megállapításai között szerepel:

  • Sebezhetőség rfelé exportál új csúcsot ér el 2022-ben, ami 22%-os növekedés: A National Institute of Standards and Technology (NIST) Nemzeti Sebezhetőségi Adatbázis részét képező MITER Corp. sebezhetőségeinek és kitettségeinek listája egyre gyorsul. Ha a jelentések száma lépést tart az év első felével, a szoftvercégek és adminisztrátorok valószínűleg közel 24 500 jelentést fognak látni 2022-ben, ami 22%-kal több, mint az előző évben a ReversingLabs szerint.

  • Az nszáma vgyengeségeit kivelbeteg cFolytassa gsorban: Ez a növekedés két tényezőre vezethető vissza: a CVE programban részt vevő vállalatok és országok növekvő száma; és azon projektek száma – különösen a nyílt forráskódú projektek –, amelyek a CVE számozási hatóságok alá tartoznak.

  • A nyílt forráskód preferált célponttá válik: Míg a Linux, az Android, a Windows, a Mac és az iOS vonzza a legtöbb kutatást és az ebből származó CVE-t, a nyilvános tárolókban tárolt nyílt forráskódú szoftverek, valamint a fejlesztőcsapatok által használt eszközök és platformok a kutatók és a támadók figyelmébe kerülnek, lehetővé téve a platformok fejlesztését. mint például a GitLab, amely 2022 első felében az új, nem operációs rendszerhez kapcsolódó CPU-k legfőbb forrása.

  • A szoftverellátási láncban egyre növekszik a támadások száma: Egyre nő a szoftverfejlesztési csővezetékek és kódtárak elleni támadások száma. A ReversingLabs adatai például azt mutatják, hogy az npm és a Python Package Index (PyPI) népszerű szoftvercsomag-tárhelyei elleni támadások 289%-kal nőttek az elmúlt években, a 2018-as 259-ről 1010-re 2021-re. az ellátási láncot, ami támadásokhoz vezet ezeken a platformokon. A ReversingLabs adatai azt mutatják, hogy 2010 óta a szoftverellátási láncot ért halmozott támadások összesen több mint 6000 incidenst eredményeztek.

  • Az NVD-nek fejlődnie kell, hogy megmaradjony releváns. Az NVD terjeszkedik, ahogy a nyílt forráskódú rendszergazdák, valamint új alkalmazás- és platformszolgáltatók csatlakoznak a CNA mixhez. A ReversingLabs elemzése azonban megállapította, hogy az NVD nem tart lépést a CVE folyamaton kívüli sebezhetőségek gyűjtésével. Ahhoz, hogy továbbra is releváns maradjon, az NVD-t ki kell egészíteni a gyakori DevOps-eszközök és -platformok sebezhetőségeivel, amelyeket egyre gyakrabban vesznek célba a rosszindulatú szereplők.

  • A szoftverbiztonsági csapatoknak ki kell terjeszteniük megközelítésüket. A szoftverfejlesztő csapatoknak és a szoftverbiztonságért felelős biztonsági csapatoknak el kell helyezniük a hangsúlyt a közös platformok sebezhetőségeiről, hogy igazodjanak a nyílt forráskódú tárolókban, a CI/CD-eszközökben és -platformokban megjelenő új szoftver-ellátási lánc kockázataihoz.

  • A szoftverellátási láncba vetett bizalom kulcsfontosságú. Míg számos, a szoftverfejlesztési folyamatok biztonságát segítő eszköz a projektek, a programozók, a nyílt forráskódú összetevők és fenntartóik értékelésére összpontosít, a közelmúlt eseményei – például a „tiltakozó szoftverek” térnyerése, mint a politikai indíttatású változások a node.ipc nyílt forráskódú szoftverhez vagy a a népszerű ua-parser-js projekt eltérítése a cryptominer által — hangsúlyozzák, hogy a látszólag biztonságos projektek veszélybe kerülhetnek, vagy más módon biztonsági kockázatot jelenthetnek a szervezetek számára. „Amíg figyelmen kívül hagyjuk a probléma gyökerét, vagyis azt, hogy hogyan bízzunk a kódban, nem fogunk foglalkozni a szoftverellátási lánc biztonságával” – mondta Tomislav Peričin, a ReversingLabs társalapítója és vezető szoftvertervezője.

A ReversingLabs teljes jelentése, „NVD Analysis 2022: A Call to Action on Software Supply Chain Security”, a tanulmány teljes részleteit tartalmazza, és már elérhető. Az eredményekről a jelentésben is tájékozódhat kiemeli és infografika.

A ReversingLabs-ról
A ReversingLabs felhatalmazza a modern szoftverfejlesztő és biztonsági műveleti csapatokat, hogy megvédjék szoftverkiadásaikat és szervezeteiket a fejlett szoftver-ellátási lánc biztonsági támadásaitól, rosszindulatú programjaitól, zsarolóprogramjaitól és egyéb fenyegetésektől.

A ReversingLabs Titanium Platform minden fájlt, bináris fájlt vagy objektumot elemz, beleértve a hagyományos biztonsági megoldásokat megkerülő fájlokat is. Ez egy hibrid felhő, az adatvédelemre fókuszáló platform, amely átlátható és ember által olvasható fenyegetéselemzéssel egyesíti a fejlesztői és SOC csapatokat, felhatalmazza a fejlesztőket, a DevSecOps-okat, az SOC elemzőket és a fenyegetésvadászokat, hogy magabiztosan reagáljanak a szoftverek manipulálására és biztonsági incidensekre.

A ReversingLabs adatait a világ több mint 65 legfejlettebb biztonsági szállítója és több tízezer biztonsági szakember használja. A ReversingLabs vállalati ügyfelei az összes iparágat felölelik, és a népszerű DevSecOps és SOC platformokkal való integrációt kihasználják, amely hozzáférést biztosít a csapatoknak a gyors biztonsági döntések meghozatalához, a fenyegetések kiküszöböléséhez és a szoftverek magabiztos kiadásához szükséges elemzésekhez.

Médiakapcsolat:
Doug Fraim, Guyer Csoport
[email protected]

A bejelentést kísérő fotó a következő címen érhető el: https://www.globenewswire.com/NewsRoom/AttachmentNg/74e57a2c-4566-40ec-9fef-075668cf9fa2

Leave a Comment

%d bloggers like this: