Suse’nin son sayısı Bulutun güvenliğini sağlama Raporda, ankete katılan BT karar vericilerinin neredeyse tamamının yazılım tedarik zinciriyle ilişkili güvenlik riskleri konusunda endişe duyduğu ortaya çıktı.
820 BT mühendisi, mimarı, geliştiricisi, güvenlik yöneticisi ve direktörünün katıldığı bir ankete dayanan raporun 2024 edisyonu, BT karar vericilerinin %94’ünün güvenliği artırmak için kendi yazılım tedarik zincirlerini gözden geçirmeyi planladığını ortaya koydu.
Ankete katılan BT karar vericilerinin neredeyse yarısı (%46), tedarik zinciri saldırılarının riskini ve etkisini azaltmak için önemli bir önlem olarak yazılım oluşturmak için kullanılan süreçleri ve araçları sertifikalandırmayı düşünüyor
Suse, raporunda anket verilerinin, tedarik zinciri saldırılarının riskini ve etkisini azaltmak için en önemli önlemin yazılımların şirket içi denetimi olduğu sonucuna ulaştığını belirtti.
Dört BT karar vericisinden biri, hükümet tarafından tanınan tedarik zinciriyle ilgili güvenlik sertifikalarının (%25) önümüzdeki 12 ayda onlar için daha öncelikli olacağına inanıyor. BT karar vericileri ayrıca kaynak kodu denetlenebilirliğinin (%14), yapı kalitesinin (%15) veya yazılım malzeme listesi derinliğinin (SBOM), kalitesinin ve güvenliğinin (%24) önümüzdeki birkaç yıl içinde daha öncelikli hale gelmek üzere yukarı doğru yeniden değerlendirileceğine inanıyor.
Raporda ABD, Almanya, İngiltere, Fransa ve Hollanda’daki BT karar vericilerine anket uygulandı. ABD ve Avrupa’da bulunanlar kaynak kodu denetlenebilirliği (14%) hedeflerinin yeniden değerlendirileceğine inanıyor, en düşük pay Almanya’da (11%) ve en yüksek pay Hollanda’da (19%), ardından Fransa (%17). Benzer şekilde, SBOM derinliği, kalitesi ve güvenliğinin yeniden değerlendirilmesi sorulduğunda, ABD’deki (%20) ve Almanya’daki (%20) katılımcılar aynı fikirdeydi. Avrupa bir grup olarak buna daha yüksek bir olasılık (26%) atfederken, Birleşik Krallık (%30) en yüksek oranda aynı fikirdeydi.
Ancak Suse, yazılım tedarik zincirlerinin yapı kalitesini yeniden değerlendirme kararının bölücü bir konu olmaya devam ettiğini belirtti. Raporun yazarları, “Geçen yılki Avrupalı katılımcıların buna inanma olasılığı (yüzde 40) ABD’li katılımcılara (yüzde 15) kıyasla daha yüksekken, bu yıl roller tersine döndü ve ABD’li karar vericilerin (yüzde 24) Avrupa’lı katılımcılara (yüzde 12) kıyasla bunun böyle olduğuna inanması daha olasıydı” diye yazdı.
Suse ayrıca yazılım tedarik zinciri risklerine ilişkin sorulara verilen yanıtların katılımcıların işletmedeki mevcut rollerine bağlı olduğunu buldu. Anket, yazılım ve ağ mühendisleri, teknik mimarlar veya geliştiriciler olarak çalışanların kaynak kod denetlenebilirliğiyle ilgili hedeflerin yeniden değerlendirileceğine inanma olasılıklarının daha yüksek olduğunu (ortalama %14’e karşı %24) ancak SBOM derinliği, kalitesi ve güvenliğiyle ilgili hedeflerin yeniden değerlendirileceğini düşünme olasılıklarının daha düşük olduğunu (ortalama %23’e karşı %20) bildirdi.
Tedarik zinciri saldırılarının riskini ve etkisini azaltmak için ankete katılan BT karar vericilerinin kullandığı en popüler önlemler arasında yazılım oluşturmak için kullanılan süreçlerin ve araçların onaylanması (%46), başlıca yazılım sağlayıcıları tarafından desteklenen yazılımların kullanılması (%44) ve yazılımın şirket içinde denetlenmesi (%43) yer alıyor.
Yazılım oluşturmak için kullanılan süreçlerin ve araçların sertifikalandırılması, ABD’de (%59) Avrupa’dakine (%41) kıyasla daha önemli görülüyor.
Suse ayrıca, Almanya’da yazılımların şirket içi denetiminin (yüzde 53) İngiltere ve Hollanda’ya (ikisi de yüzde 38) kıyasla çok daha popüler bir ölçü olduğunu, Fransa’da ise ortalamanın (yüzde 43) bu seviyede olduğunu bildirdi.