Post by Lior Aviv 🇮🇱
Cyber Security Business Leader ❄️ Introduce Platforms to fortify Cyber Resilience 📈 Doubles sales volume and adjust global presence to local constraints 🌐 Passionate DJ🎶
השנים בתעשייה כבר לימדו אותי שאם Gartner יוצרת קטגוריה חדשה, זה בדרך כלל סימן שהשוק כבר הגיע לשם עוד בטרם היא (הקטגוריה) הוגדרה. לפני כמה ימים פרסמה גרטנר לראשונה Magic Quadrant ייעודי ל-Software Supply Chain Security. לא מדובר על הרחבה של קטגוריה קיימת, אלא בהכרה בכך שאבטחת שרשרת אספקת התוכנה הפכה לתחום אסטרטגי בפני עצמו. כמו שהכותרת רומזת, הביקוש לא נולד עם הדוח. הוא כאן כבר זמן רב. כבר שנים ברור ששרשרת אספקת התוכנה היא אחד ממשטחי התקיפה המורכבים והמשמעותיים ביותר. אירועים מחוננים כמו זה שקרה ל SolarWinds, או חשיפת הפגיעות העצומה של #Log4Shell הוכיחו שלא חייבים לתקוף את האפליקציה עצמה ושישנם מקרים שבהם מספיק לפגוע בכלי שבונה אותה, בספריית קוד פתוח כלשהי או ברכיב אחר שנכנס לתהליך הפיתוח. מהפכת ה-AI משנה את התמונה באופן קיצוני יותר. ארגונים כבר לא "רק" צורכים ספריות קוד ממאגרים חיצוניים. היום המפתחים משלבים מודלי AI, מסתמכים על סוכני AI, ומשלבים בפיתוח חבילות קוד ותוצרים שנוצרים באופן אוטומטי. זה מייצר לעיתים מצבים שהתוצאים האלו מגיעים לסביבת הייצור ללא תהליך אימות ובדיקה מספק. במקביל, מספר החבילות הזדוניות והניסיונות להחדיר קוד כבר בשלבי ה-CI/CD ממשיך לעלות. התוקפים מטרגטים את שרשרת הייצור של האפליקציה, הם כבר לא מחפשים נק' תורפה רק ב runtime עצמו. אחד הדברים הבולטים בדוח הוא החברות שמופיעות בו. בראש הרשימת החברות המובילות, בציר ה-Ability to Execute מובילה לא במקרה JFrog. עוד לפני שהקטגוריה הוגדרה על ידי גרטנר, JFrog בנתה פלטפורמה שלמה לניהול ולאבטחת שרשרת אספקת התוכנה. ככל שהשרשרת הופכת מורכבת יותר, כך ברור שלא ניתן לאבטח אותה באמצעות אוסף של כלים נפרדים. נדרשת פלטפורמה אחת שמספקת נראות, מדיניות ואכיפה לכל אורך מחזור החיים של התוכנה. המסר החשוב ביותר של הדוח הוא לא רק מי מדורג ראשון, אלא ההכרה בכך ש-Software Supply Chain Security זה כבר לא אוסף של פתרונות נקודתיים שמחפשים owner בארגון, אלא תחום אסטרטגי שדורש תפיסה אחודה ופלטפורמה אחת שמחברת חיבור הדוק בין צוותי הפיתוח, ה-DevOps והגנת הסייבר. בשנים הקרובות, זו תהיה אחת מזירות ההתמודדות המשמעותיות ביותר והמורכבות ביותר בתחום. הדוח המלא של Gartner זמין כאן: https://lnkd.in/dnVpGC4A #SoftwareSupplyChain #CyberSecurity #ApplicationSecurity #DevSecOps #AI #GartnerMQ #JFrog #Platform