Najnowsze wydanie Suse’a Zabezpieczanie chmury raport wykazał, że niemal każdy ankietowany decydent ds. IT jest zaniepokojony ryzykiem bezpieczeństwa związanym z jego łańcuch dostaw oprogramowania.
Wydanie raportu z 2024 r., oparte na badaniu 820 inżynierów IT, architektów, programistów, menedżerów ds. bezpieczeństwa i dyrektorów, wykazało, że 94% decydentów w zakresie IT zamierza dokonać przeglądu własnego łańcucha dostaw oprogramowania w celu zwiększenia bezpieczeństwa.
Prawie połowa (46%) ankietowanych decydentów ds. IT uważa certyfikację procesów i narzędzi wykorzystywanych do tworzenia oprogramowania za kluczowy środek łagodzący ryzyko i skutki ataków na łańcuch dostaw
W raporcie Suse stwierdził, że dane z ankiety pokazują, że audyt wewnętrzny oprogramowania jest uważane za najważniejszy środek ograniczający ryzyko i skutki ataków na łańcuch dostaw.
Jeden na czterech decydentów IT uważa, że certyfikaty bezpieczeństwa łańcucha dostaw uznawane przez rząd (25%) staną się dla nich priorytetem w ciągu najbliższych 12 miesięcy. Decydenci IT uważają również, że audytowalność kodu źródłowego (14%), jakość wykonania (15%) lub głębokość listy materiałów oprogramowania (SBOM) jakość i bezpieczeństwo (24%) zostaną w ciągu najbliższych kilku lat ponownie ocenione pod kątem podwyższenia priorytetu.
Raport przepytał decydentów IT w USA, Niemczech, Wielkiej Brytanii, Francji i Holandii. Osoby z siedzibą w USA i Europie uważają, że cele dotyczące audytowalności kodu źródłowego (14%) zostaną ponownie ocenione, przy czym najniższy udział odnotowano w Niemczech (11%), a najwyższy w Holandii (19%), a następnie we Francji (17%). Podobnie, gdy zapytano o ponowną ocenę głębokości, jakości i bezpieczeństwa SBOM, respondenci w USA (20%) i Niemczech (20%) byli zgodni. Europa jako grupa przypisała temu większe prawdopodobieństwo (26%), a Wielka Brytania (30%) była najbardziej zgodna.
Jednakże Suse zauważyło, że decyzja o ponownej ocenie jakości wykonania ich łańcuchów dostaw oprogramowania pozostaje kwestią sporną. „Podczas gdy w zeszłym roku europejscy respondenci byli bardziej skłonni (40%) uwierzyć w to w porównaniu z respondentami z USA (15%), w tym roku role się odwróciły, ponieważ więcej decydentów z USA (24%) uważało, że tak jest w rzeczywistości, w porównaniu z Europejczykami (12%)” – napisali autorzy raportu.
Suse odkrył również, że odpowiedzi na pytania dotyczące ryzyka łańcucha dostaw oprogramowania zależą od obecnej roli respondentów w firmie. Ankieta wykazała, że osoby pracujące jako inżynierowie oprogramowania i sieci, architekci techniczni lub deweloperzy częściej uważają, że cele dotyczące audytowalności kodu źródłowego zostaną ponownie ocenione (24% w porównaniu ze średnią 14%), ale rzadziej uważają, że cele dotyczące głębokości, jakości i bezpieczeństwa SBOM zostaną ponownie ocenione (20% w porównaniu ze średnią 23%).
Aby ograniczyć ryzyko i skutki ataków na łańcuch dostaw, wśród najpopularniejszych środków stosowanych przez decydentów IT w badaniu znalazły się certyfikacja procesów i narzędzi używanych do tworzenia oprogramowania (46%), korzystanie z oprogramowania wspieranego przez głównych dostawców oprogramowania (44%) oraz wewnętrzne audyty oprogramowania (43%).
Certyfikacja procesów i narzędzi wykorzystywanych do tworzenia oprogramowania jest uważana za ważniejszą w USA (59%) niż w Europie (41%).
Firma Suse podała również, że wewnętrzne audyty oprogramowania są znacznie popularniejszą metodą w Niemczech (53%) niż w Wielkiej Brytanii i Holandii (po 38%), przy czym średnia wynosi 43% we Francji.