|
시장보고서
상품코드
1648089
기업 소프트웨어 공급망에서 클로즈드 소스와 SaaS 애플리케이션의 보안 확보Securing Closed Source and SaaS Apps in the Enterprise Software Supply Chain |
||||||
이 IDC Perspective에서는 소프트웨어 공급망의 보안 보호가 오픈 소스 코드뿐만 아니라 비공개 소스 및 SaaS 애플리케이션으로 확장되어야 하는 이유에 대한 지침을 제공합니다. 타사 비공개 소스 애플리케이션과 SaaS 애플리케이션은 엔터프라이즈 소프트웨어 공급망에서 오픈 소스 코드와 함께 두드러지게 나타나는 경우가 많습니다. 어떤 측면에서는 공급업체가 고객을 위해 전자의 자산 유형에서 보안 위험을 관리할 가능성이 더 높기 때문에 비공개 소스 및 SaaS 소프트웨어 자산은 오픈 소스 구성 요소보다 위험이 적습니다. 또한 비공개 소스 앱에 영향을 미치는 취약점은 공개적으로 공개되지 않는 경우가 많기 때문에 위협 행위자가 이를 파악하고 악용할 가능성이 적습니다. 그럼에도 불구하고 비공개 소스 및 SaaS 앱은 소프트웨어 공급망 보안을 저해할 수 있는 여러 가지 위험에 노출될 수 있습니다. 따라서 기업은 앱이 오픈 소스가 아니더라도 공급망에서 타사 앱을 추적할 수 있어야 합니다. 이렇게 하는 것은 기업이 비공개 소스 소프트웨어와 관련된 보안 결함이나 사고가 기업에 영향을 미치는지 신속하게 판단하고, 공급업체가 소프트웨어를 자동으로 패치하지 않는 경우 패치를 설치하는 등 이러한 문제에 신속하게 대응할 수 있도록 하는 데 중요합니다. 안타깝게도 타사 비공개 소스 앱 및 SaaS와 관련된 소프트웨어 공급망 위험을 관리하는 것은 타사 오픈 소스 코드를 관리하는 것만큼 간단하지 않습니다. 그러나 애플리케이션 인벤토리 관리, SaaS 검색, SBOM 관행의 확장과 같은 접근 방식을 사용하여 비공개 소스 및 SaaS 애플리케이션에 대한 가시성을 제공할 수 있습니다. "타사 비공개 소스 소프트웨어와 SaaS 앱은 대부분 오픈 소스 보안 위험에 초점을 맞추는 경향이 있는 소프트웨어 공급망 보안의 맥락에서 간과하기 쉽습니다."라고 IDC의 IT 임원 프로그램(IEP) 부연구 고문인 Christopher Tozzi는 설명합니다. "하지만 안전하지 않은 비공개 소스 코드와 다른 사람이 호스팅하는 소프트웨어도 오픈 소스 취약점만큼이나 위협이 될 수 있으므로 소프트웨어 공급망 보안 전략과 관행을 오픈 소스에만 국한하지 말고 확장하는 것이 중요합니다."라고 설명합니다.
이그제큐티브 스냅숏
상황 개요
- 소프트웨어 공급망 보안에서 클로즈드 소스 및 SaaS 앱의 역할
- 서드파티 클로즈드 소스 및 SaaS 앱의 보안 확보가 중요한 이유
테크놀러지 구입자에 대한 어드바이스
- 전략적 실천
- 전술적 실천
참고 자료
- 관련 조사
- 요약
This IDC Perspective offers guidance on why software supply chain security protections must extend to closed source and SaaS applications as well as open source code. Third-party closed source applications and SaaS apps often feature prominently alongside open source code in enterprise software supply chains. In some respects, closed source and SaaS software assets pose less of a risk than open source components because vendors are more likely to manage security risks in the former types of assets for their customers. In addition, vulnerabilities that impact closed source apps are often not disclosed publicly, reducing the chances that threat actors will learn about and exploit them.Nonetheless, closed source and SaaS apps can be subject to a number of risks that can hamper software supply chain security. For that reason, businesses must be able to track third-party apps in their supply chains, even if the apps are not open source. Doing so is important for ensuring that businesses can determine quickly whether security flaws or incidents involving closed source software impact them, as well as to react quickly to such issues by (for example) installing patches in cases where the vendor does not automatically patch its software.Unfortunately, managing software supply chain risks associated with third-party closed source apps and SaaS is not as straightforward as managing third-party open source code. However, it is possible using approaches like application inventory management, SaaS discovery, and the extension of SBOM practices to provide visibility into closed source and SaaS applications."Third-party closed source software and SaaS apps are easy to overlook in the context of software supply chain security, which tends to focus mostly on open source security risks," says Christopher Tozzi, adjunct research advisor, IDC's IT Executive Programs (IEP). "However, the reality is that insecure closed source code and software hosted by someone else can pose just as much of a threat as open source vulnerabilities, making it critical to extend software supply chain security strategies and practices beyond open source alone."
Executive Snapshot
Situation Overview
- The Role of Closed Source and SaaS Apps in Software Supply Chain Security
- Why Securing Third-Party Closed Source and SaaS Apps Is Key
Advice for the Technology Buyer
- Strategic Practices
- Tactical Practices
Learn More
- Related Research
- Synopsis
