Säkra upp leveranskedjorna i mjukvaruutvecklingen

Modern applikationsutveckling bygger ofta på bibliotek och system från tredjeparts-leverantörer. Desto djupare dessa beroenden blir, desto viktigare blir det att ta säkerheten på allvar.

Vi på Accelerate at Iver erbjuder kunskap och lösningar för att hjälpa er skydda dessa kedjor, och på så sätt hjälpa er öka tillförlitligheten och säkerheten i era applikationer.  

Genom att kombinera statisk och dynamisk kodscanning, samt kontroll av bibliotek och paket innan de laddas ner via era kodförråd (repositories) så kan ni höja säkerheten i er applikationsleverans. 

 

Externa beroenden i mjukvara och nya direktiv 

I samband med införandet av det europeiska direktivet kring cybersäkerhet (både Cyber Resilience Act och NIS2) är det av högsta vikt att känna till vilka externa beroenden som existerar i ens mjukvara. En stor del av detta rör nyupptäckta svagheter i bibliotek som används. För att lösa detta problem hjälper vi er med konfiguration och uppsättning av kod-scanning i pipelines, med scanning av containrar som körs, eller med verktyg som söker igenom de tredjepartsbibliotek som används och blockerar versioner som har kända svagheter. 

 

Attacken på NPM och behovet av Säkerhetskontroller 

Genom att använda verktyg för att säkra genomsökning av bibliotek så går det att i ett tidigt skede upptäcka och kunna stoppa sårbarheter från att komma ut till ens kunder. En stor attack som genomfördes på det här sättet av event-stream paketet från NPM. NPM är ett av världens största mjukvarubibliotek för kodpaket. Det som då hände var att en av projektets ansvariga la till ett extra tredjepartsbibliotek och sedermera modifierade det med skadlig kod. Det innebar att alla som hade flytande versionskontroller på paketet fick den nya skadliga koden vid nästa kompilering. Attacken började i september 2018 och NPM:s säkerhetsteam fick kännedom om attacken i november samma år. 

Det finns många exempel då olika aktörer på ett eller annat sätt lyckats få in skadlig kod i legitima bibliotek och paket. Med hjälp av genomsökning av kod antingen i byggsteg, eller vid nedladdning av beroenden så skulle detta kunna uppdagas, så snart den skadliga koden har upptäckts, och därmed skulle risken för företaget minska. Automatisering av dessa kontroller minskar också kravet på enskilda individer i organisationen.  

Statistik från Sonatype

Enligt statistik från vår partner Sonatype har en åttondel av alla programvaror med öppen källkod kända sårbarheter som har lösningar tillgängliga. I uppdateringen för 2023 hittade de nästan 250 tusen paket med sårbarheter, två gånger fler än alla tidigare år tillsammans. De skriver: 

“...last year, we revealed that a staggering 85% of projects in Maven Central — the largest public repository for Java open source components — are inactive. In other words, developers are faced with a perplexing array of choices, with only a fraction of them leading to active, well-maintained projects. Yet, we also found, and re-affirmed this year, that 96% of all vulnerable downloads from Maven Central, had known fixes available.” Källa: Sonatype

Med vår expertis och lösningar från våra partner GitLab och Sonatype levererar vi lösningar som adresserar de problem vi beskriver ovan. Kontakta oss för en första genomgång om hur vi skulle kunna hjälpa just er med att säkra upp er Software Supply Chain. 

Läs mer om vårt partnerskap med Sonatype