Dans un monde où de plus en plus d’organisations adoptent des composants open source comme éléments fondamentaux de l’infrastructure de leurs applications, il est difficile de considérer les SCA traditionnels comme des mécanismes de protection complets contre les menaces open source.
L’utilisation de bibliothèques open source permet d’économiser des tonnes de temps de codage et de débogage, et par là même, de réduire le temps de livraison de nos applications. Mais comme les bases de code sont de plus en plus composées de logiciels open source, il est temps de respecter l’ensemble de la surface d’attaque – y compris les attaques contre la chaîne d’approvisionnement elle-même – lors du choix d’un logiciel open source. Plateforme SCA dépendre de.
L’impact d’une dépendance
Lorsqu’une entreprise ajoute une bibliothèque open source, elle ajoute probablement non seulement la bibliothèque à laquelle elle avait l’intention, mais également de nombreuses autres bibliothèques. Cela est dû à la façon dont les bibliothèques open source sont construites : comme toutes les autres applications de la planète, elles visent une rapidité de livraison et de développement et, en tant que telles, s’appuient sur du code construit par d’autres personnes – c’est-à-dire d’autres bibliothèques open source. .
Les termes réels sont une dépendance directe – un package que vous ajoutez à votre application et une dépendance transitive – qui est un package ajouté implicitement par vos dépendances. Si votre application utilise le package A et que le package A utilise le package B, alors votre application indirectement dépend sur le colis B.
Et si le package B est vulnérable, votre projet l’est également. Ce problème a donné naissance au monde des SCA (plateformes d’analyse de composition logicielle) qui peuvent aider à détecter les vulnérabilités et à suggérer des correctifs.
Cependant, les SCA ne résolvent que le problème des vulnérabilités. Qu’en est-il des attaques contre la chaîne d’approvisionnement ?
Aide-mémoire sur les meilleures pratiques en matière de sécurité de la chaîne d’approvisionnement
Les attaques contre la chaîne d’approvisionnement logicielle sont en augmentation.
Selon Les prédictions de Gartnerd’ici 2025, 45% des organisations sera affecté. Les outils traditionnels d’analyse de la composition logicielle (SCA) ne suffisent pas, et il est temps d’agir maintenant.
Téléchargez notre aide-mémoire pour découvrir les cinq types d’attaques critiques de la chaîne d’approvisionnement et mieux comprendre les risques. Mettez en œuvre les 14 bonnes pratiques répertoriées à la fin de l’aide-mémoire pour vous en défendre.
Attaques VS. Vulnérabilités
Il n’est peut-être pas évident de savoir ce que nous entendons par risque « inconnu ». Avant de plonger dans la différenciation, considérons d’abord la différence entre les vulnérabilités et les attaques :
Une vulnérabilité :
- Une erreur non délibérée (hormis des attaques sophistiquées très spécifiques)
- Identifié par un CVE
- Enregistré dans des bases de données publiques
- Défense possible avant exploitation
- Comprend à la fois les vulnérabilités classiques et les vulnérabilités Zero Day
- Exemple : Log4Shell est une vulnérabilité
Une attaque contre la chaîne d’approvisionnement :
- Une activité malveillante délibérée
- Manque d’identification CVE spécifique
- Non suivi par les SCA standards et les bases de données publiques
- Généralement déjà tenté d’être exploité ou activé par défaut.
- Exemple : SolarWinds est une attaque de la chaîne d’approvisionnement
Un risque inconnu est, presque par définition, une attaque sur la chaîne d’approvisionnement qui n’est pas facilement détectable par votre plateforme SCA.
Les outils SCA ne suffisent pas !
Les outils SCA peuvent sembler résoudre le problème de votre protection contre les risques liés à la chaîne d’approvisionnement, mais ils ne répondent à aucun des risques inconnus (y compris toutes les attaques majeures de la chaîne d’approvisionnement) et vous exposent à l’un des éléments les plus critiques de votre infrastructure.
Une nouvelle approche est donc nécessaire pour atténuer les risques connus et inconnus dans le paysage en constante évolution de la chaîne d’approvisionnement. Ce guide passe en revue tous les risques connus et inconnus de votre chaîne d’approvisionnement, suggère une nouvelle façon de voir les choses et fournit une excellente référence (ou introduction !) au monde des risques de la chaîne d’approvisionnement.
