|
시장보고서
상품코드
1844034
CISO을 위한 인사이트 : 소프트웨어 공급망 보안 분야의 과제와 기회Insights for CISOs: Challenges and Opportunities in the Software Supply Chain Security Space |
||||||
전통적인 용도 보안 테스트를 넘어 소프트웨어 공급망 보안에 대한 재조명
소프트웨어 공급망 보안(SSCS)이란 소프트웨어 개발(초기 코딩 및 테스트)부터 런타임까지의 단계를 포괄하는 사이버 보안 공격으로부터 소프트웨어 개발 라이프사이클(SDLC)을 보호하는 도구, 서비스 및 관행을 포함하는 보안 솔루션을 말합니다. SSCS가 보호하는 대표적인 벡터에는 오픈소스 및 써드파티 컴포넌트(라이브러리 및 프레임워크), 독점 코드, 리포지토리, 개발 도구, 개발자 계정/코드 공유 플랫폼 등이 있습니다.
공격 대상이 계속 확대되고 소프트웨어 공급망에서 사이버 위협이 증가함에 따라 SSCS는 조직의 사이버 보안 전략에 필수적인 요소로 자리 잡고 있습니다. 타사 코드의 취약점 악용부터 클라우드 서비스 설정 오류에 이르기까지, 소프트웨어 공급망 사고 보고는 이제 흔한 일이 되었습니다. 이러한 공격에는 독점 코드와 상용 코드가 포함되며, 소프트웨어 생산자와 소비자에게 보안, 규제, 운영상의 영향을 미치고 있습니다.
기술 발전과 사이버 위협으로 인해 SSCS 상황이 지속적으로 진화함에 따라 SSCS 벤더들은 SDLC의 다양한 단계를 보호하기 위해 다양한 기능, 접근 방식, 전략을 제공합니다. 어떤 벤더는 좌회전 솔루션 제공에 중점을 두고, 어떤 벤더는 우회전을 채택하고, 어떤 벤더는 SDLC 구축 후와 구축 전 단계에 중점을 두고 있습니다.
오늘날 기업이 소프트웨어 공급망을 보호하고 현대의 디지털 환경에서 지속 가능한 성공을 보장하기 위해서는 종합적인 SSCS를 채택하는 것이 필수적입니다. 그러나 많은 CISO들은 SSCS의 복잡성, 진화하는 위협 벡터, 써드파티 및 오픈소스 컴포넌트의 급속한 도입으로 인해 SSCS에 대해 여전히 혼란스러워하고 있습니다. 조직은 '지켜보기' 접근 방식을 채택하고 SSCS를 확보하기 위해 기본 기술에 의존하는 것을 선호하거나 단편적인 방식으로 SSCS에 접근하여 약속된 보안을 누리지 못한 초기 채택자 중 하나입니다.
이 인사이트에서는 SSCS의 진화를 살펴보고, SSCS의 격차를 파악하고, CISO가 보다 광범위한 SSCS 보호를 위해 보다 정보에 입각한 의사결정을 내릴 수 있도록 지원하는 프레임워크와 접근 방식을 평가합니다.
목차
전략적 필수 요건(TM)
성장 기회 분석, 소프트웨어 공급망 보안 SSCS 개요
- SSCS 진화와 소프트웨어 공급망 공격
- SSCS와 AppSec의 차이
- 소프트웨어 생산자와 소프트웨어 소비자의 책임 분담
- 전략적 필수 요건의 거점에 있는 SSCS
- 주요 툴과 실천
성장 기회 : 소프트웨어 공급망 보안 SSCS 세계
- 성장 기회 1: 단일 플랫폼을 통한 오케스트레이션으로 엔드투엔드 가시성 확보
- 성장 기회 2: 생성형 AI 활용과 동시에 AI 기반 위험 관리
- 성장 기회 3: 안전한 협업 및 위협 인텔리전스 공유
결론
부록 : 소프트웨어 공급망 보안 벤더 개요
- Checkmarx
- JFrog
- Lineaje
- NSFOCUS
- ReversingLabs
- Sonatype
- Veracode
변혁적 성장 여정
LSH 25.10.29Rethinking Software Supply Chain Security Beyond Traditional Application Security Testing
Software supply chain security (SSCS) refers to the security solutions, including tools, services, and practices that protect the software development life cycle (SDLC) against cybersecurity attacks covering phases from software development (initial coding and testing) to runtime. Typical vectors that SSCS secures include open-source or third-party components (libraries or frameworks), proprietary code, repositories, development tools, and developer accounts/code-sharing platforms.
SSCS has become vital to organizations' cybersecurity strategy, given the ever-expanding attack surface and rising cyber threats on the software supply chain. Reports of software supply chain incidents, ranging from exploitations of vulnerabilities in third-party code and misconfigured cloud services, have become undeniably common. These attacks include proprietary and commercial codes, and pose security, regulatory, and operational impacts on software producers and consumers.
As the SSCS landscape continuously evolves with technological advancements and cyber threats, SSCS vendors are offering a wide range of capabilities, approaches, and strategies in securing different stages of the SDLC. Some vendors focus on offering shift left solutions, some employ shift right, while others emphasize the post-build and pre-deployment stage of the SDLC.
It is essential that businesses today adopt comprehensive SSCS to secure their software supply chain and ensure sustainable success in this modern digital landscape. However, many CISOs are still confused about SSCS due to its complexity, evolving threat vectors, and the rapid adoption of third-party and open-source components. Organizations either adopted a "wait-and-see" approach and prefer to rely on the basic technologies to ensure SSCS, or are among the early adopters who approached SSCS in a fragmented way and did not reap the promised security.
This insight examines the evolution of SSCS, identifies the gaps in SSCS, and evaluates the frameworks or approaches that enable CISOs to make a more informed decision for broader SSCS protection.
Table of Contents
The Strategic Imperative ™
Growth Opportunity Analysis, An Overview of Software Supply Chain Security SSCS
- The Evolution of SSCS and Software Supply Chain Attacks
- The Difference Between SSCS and AppSec
- Shared Responsibility Among Software Producers and Software Consumers
- SSCS at a Strategic Inflection Point
- Key Tools and Practices
Growth Opportunity Universe, Software Supply Chain Security SSCS
- Growth Opportunity 1: Orchestration via a Single Platform for End-to-End Visibility
- Growth Opportunity 2: Managing AI-Driven Risks While Leveraging Generative AI
- Growth Opportunity 3: Secure Collaboration and Threat Intelligence Sharing
The Final Word
Appendix: Select Software Supply Chain Security Vendor Profiles
- Checkmarx
- JFrog
- Lineaje
- NSFOCUS
- ReversingLabs
- Sonatype
- Veracode
