A cadeia de suprimentos de software tornou-se uma preocupação vital para as empresas que enfrentam um cenário digital cada vez mais complexo. Um recente relatório da JFrog destaca os desafios crescentes que as organizações encontram para assegurar seus ecossistemas de software.
O "Estado da União da Cadeia de Suprimentos de Software 2024", publicado na semana passada, indica que as cadeias de suprimentos de software atuais são diversas e globais. Muitas organizações, cerca de 53%, utilizam entre quatro a nove linguagens de programação, com impressionantes 31% dependendo de mais de dez linguagens.
Essa complexidade resultou em um aumento no número de pacotes e bibliotecas de código aberto para o desenvolvimento de aplicações. Segundo o relatório, “Docker e npm foram os tipos de pacotes com mais contribuições, com as contribuições do PyPI também crescendo, provavelmente devido a casos de uso de IA/ML.” No entanto, essa abundância de recursos traz riscos potenciais para as organizações.
Em 2023, pesquisadores de segurança relataram mais de 26.000 novas Vulnerabilidades e Exposições Comuns (CVEs), continuando uma tendência de aumento. O relatório aponta que as vulnerabilidades mais comuns este ano foram Cross-site Scripting, SQL Injection e Out-of-Bounds Write, com o Cross-Site Request Forgery se tornando mais prevalente.
Scores CVSS Enganosos Ocultam Riscos Reais
Shachar Menashe, Diretor Sênior de Pesquisa em Segurança da JFrog, destacou a natureza enganosa dos scores do Common Vulnerability Scoring System (CVSS) em relação à sua real explorabilidade. “Os scores do CVSS não consideram vetores de ataque dependentes de contexto. Assim, uma vulnerabilidade explorável por padrão recebe a mesma pontuação que uma vulnerabilidade que só é explorável em condições raras,” explicou Menashe. O relatório revela que impressionantes 74% das CVEs altas e críticas nas 100 imagens top do DockerHub não são exploráveis, sublinhando a necessidade de uma avaliação mais profunda dos riscos com base no contexto e configuração de cada organização.
Riscos Ocultos nas Cadeias de Suprimentos de Software
O relatório identifica erro humano e segredos expostos como vulnerabilidades significativas nas cadeias de suprimentos de software. Menashe enfatizou as vantagens da varredura em nível binário, afirmando: “Escanear e validar o que será executado em produção pode revelar exposições que só aparecem após a compilação do código.” Questões como segredos vazados muitas vezes escapam da detecção no código-fonte, mas surgem na imagem final devido ao pipeline CI/CD.
Abordagens de Segurança Fragmentadas Desperdiçam Recursos
Apesar da crescente conscientização, as organizações frequentemente enfrentam protocolos de segurança fragmentados que desperdiçam tempo e recursos. O relatório revelou que 60% dos profissionais gastam quatro ou mais dias por mês remediando vulnerabilidades em aplicações.
Menashe recomenda priorizar vulnerabilidades por meio de investimentos em soluções de segurança que contextualizem os resultados das varreduras, declarando: “Apenas sinalizar CVEs não é suficiente. Varredura contextual, seja estática ou dinâmica, é essencial. Ignorar o contexto resulta em cerca de 75% de falsos positivos.”
O relatório também aborda os desafios impostos por um número excessivo de ferramentas de segurança. Menashe observou que o excesso de soluções pontuais pode criar lacunas de cobertura e resultar em fadiga de alertas, dificultando os fluxos de trabalho de desenvolvimento.
IA e Machine Learning Introduzem Novos Riscos
O crescimento da inteligência artificial (IA) e do machine learning (ML) no desenvolvimento de software traz seus próprios riscos. Enquanto 94% das organizações revisam a segurança de modelos de machine learning de código aberto, quase 20% evitam utilizar IA/ML para a criação de código devido a preocupações de segurança.
Menashe prevê que o uso de IA para codificação aumentará, mas alerta para os riscos de segurança associados. "Embora a GenAI possa aumentar significativamente a produtividade dos desenvolvedores, é crucial que eles reconheçam que essas práticas podem ameaçar a segurança e a conformidade, já que a GenAI muitas vezes falha em produzir código seguro," alertou. Ele também avisa os CISOs sobre a potencialidade de atacantes explorarem a tendência da IA em criar bibliotecas inexistentes, possibilitando a criação de pacotes maliciosos que os desenvolvedores podem inadvertidamente utilizar.
Recomendações-chave para Proteger as Cadeias de Suprimentos de Software
À medida que as organizações navegam pela evolução da cadeia de suprimentos de software, o relatório da JFrog serve como um lembrete crítico para priorizar a segurança e adotar uma abordagem abrangente de gestão de riscos.
Menashe oferece recomendações-chave para líderes de TI:
1. Restringir o download direto de pacotes de software de código aberto (OSS) da internet, utilizando uma solução de gerenciamento de artefatos para revisar e assegurar artefatos antes que eles cheguem ao ambiente do desenvolvedor.
2. Gerenciar todas as entradas e saídas envolvidas nas liberações de software dentro de um sistema unificado que incorpore segurança de aplicação de ponta a ponta, assegurando a aplicação consistente de políticas entre as equipes.
3. Implementar medidas anti-tamper, como a assinatura de código, para manter a integridade das liberações, garantindo que apenas os componentes seguros pretendidos sejam incluídos à medida que o software amadurece.
Ao adotar a varredura contextual, consolidar esforços de segurança e abordar proativamente os riscos relacionados ao código gerado por IA, as empresas podem fortalecer suas cadeias de suprimentos de software e se proteger contra ameaças ocultas. O relatório da JFrog destaca a urgência de abordagens vigilantes e abrangentes para a segurança da cadeia de suprimentos de software, em face de uma superfície de ataque cada vez mais ampla.
Classificação
