IT kompanija ReversingLabs, specijalizirana za sigurnost datoteka i softvera, nedavno je prepoznata kao dobavljač u Gartnerovom Hype ciklusu za platformski inženjering (2024). Ovo priznanje stiže u vrijeme sve veće potražnje za nagrađivanim ReversingLabsovim rješenjem Spectra Assure za sigurnost lanca nabave softvera. Gotovo u isto vrijeme RL je objavio i da je spomenut u novom Gartnerovom Vodiču kroz sigurnost lanca nabave softvera za lidere.
Gartner definira platformski inženjering (engl. platform engineering) kao izgradnju i upravljanje samouslužnim internim razvojnim platformama za poboljšanje iskustva programera (developer experience) i skaliranje agilnih i DevOps praksi. - Rukovoditelji odgovorni za platformski inženjering mogu uzeti ovaj hype ciklus kao referencu za izradu strateškog plana svoje organizacije - predložio je glavni autor izvješća i potpredsjednik u Gartneru, analitičar Manjunath Bhat.
U ovaj hype ciklus uključeno je nekoliko tehnologija koje su ocijenjene kao `transformacijske´. Među njima je sigurnost lanca nabave softvera, za koju se očekuje da će ući u široku upotrebu u sljedećih dvije do pet godina. Po Gartneru, transformacijska tehnologija `omogućuje nove načine poslovanja u različitim industrijama koji će donijeti velike promjene u dinamici industrije.´
- Dok proizvođači softvera rade na stvaranju sigurnog softvera i održavanju njegovog integriteta, sigurnost lanca nabave softvera postaje sastavni dio platformskog inženjeringa - rekao je Mario Vuksan, predsjednik uprave i suosnivač ReversingLabsa.
- Spectra Assure olakšava zaštitu kôda od neovlaštenog mijenjanja, provjeru softverskih izdanja (releases) te praćenje ažuriranja i softvera trećih strana. Pomaže poduzećima da vide gdje se u softveru nalaze prijetnje i rizici te kako se ti rizici mijenjaju tijekom vremena. Također, pomaže im da napade u lancu nabave softvera otkriju prije izdavanja softvera ili njegovog puštanja u produkciju. Platformski inženjering je spoj praksi i tehnologija iz područja softverskog inženjeringa, sigurnost i rizika, kao i infrastrukture i operacija. Inovacije odražavaju ovaj multidisciplinarni aspekt - naveo je Bhat u izvješću.
Po Bhatu, Gartner grupira inovacije u ovom hype ciklusu u pet ključnih tema:
1. Developer enablement — uključuje interne portale i platforme za programere, samouslužno (self-service) upravljanje okruženjem, te innersource i intelligence platforme za softversko inženjerstvo.
2. Izrada aplikacija sigurnih po dizajnu - uključuje sigurnost lanca nabave softvera, odabrane kataloge softvera otvorenog kôda (OSS), upravljanje tajnama i platforme za zaštitu cloud-native aplikacija.
3. Učinkovita isporuka softvera — uključuje ekološki (green) softverski inženjering, softverski inženjering proširen AI-jem, autonomnu optimizaciju radnog opterećenja, inženjering pouzdanosti mjesta (site reliability engineering) i inženjering kaosa (chaos engineering).
4. Upravljanje složenošću cloud-native arhitektura — uključuje razvojna okruženja u oblaku, vidljivost (observability), GitOps, FinOps, mikroservise, cluster fleet management i service mesh.
5. Potporne timske strukture —uključuje topologije timova i modele isporuke usmjerene na proizvod.
ReversingLabs je tvrtka za sigurnost datoteka i softvera. Pruža modernu sigurnosnu platformu za provjeru i isporuku sigurnih binarnih datoteka. ReversingLabsova Spectra Core omogućuje uvide u lanac nabave softvera i sigurnost datoteka, prateći dnevno više od 40 milijardi datoteka koje se mogu pretraživati. Spectra Core može dekonstruirati kompletne softverske binarne datoteke u nekoliko sekundi do nekoliko minuta. ReversingLabs može provesti završni test kojim se utvrđuje da li neka datoteka ili softverski binarni zapis predstavlja rizik za organizaciju i njene klijente.
Gartnerov Vodič kroz sigurnost lanca nabave softvera navodi da se `sigurnost lanca nabave softvera može promatrati kao okvir koji obuhvaća tri stupa: upravljanje, razvoj i potrošnju. Implementacijom takvog okvira i pratećih procesa i alata, voditelji sigurnosti i upravljanja rizikom mogu osigurati koordinirani odgovor na problem, minimizirati slijepe točke ili nedostatke u zaštiti te smanjiti rizik kroz čitav ciklus razvoja i upotrebe softvera.´
Izvješće Gartnera spominje podatke ReversingLabsa u dijelu koji opisuje stup razvoja softvera. Taj se dio bavi sigurnim razvojem te zaštitom softverskih artefakata i razvojnog procesa. Izvješće navodi da artefakti (uključujući open-source i komercijalne ovisnosti, SDK-ove, slike spremnika i vlastiti kôd) se preuzimaju ili stvaraju tijekom procesa razvoja. Napadi temeljeni na prikrivenom uvođenju zlonamjernog kôda u ovisnosti (dependency) sve su češći. Preuzimanje i ugradnja takve ovisnosti omogućuje aktivaciju zlonamjernog softvera, koji se može proslijediti daljnjim korisnicima, dajući napadačima pristup razvojnim resursima ili drugim nepovoljnim ishodima.
Podaci se citiraju iz ReversingLabsovog Izvješća o stanju sigurnosti lanca nabave softvera u kojem je tvrtka izvijestila o porastu zlonamjernih paketa otvorenog kôda od 1300 posto od 2020. do 2023. te porastu od 28 posto u odnosu na 2022., kada je otkriveno nešto više od 8700 zlonamjernih paketa.
Gartnerovo izvješće također preporučuje da organizacije koje kupuju softver `implementiraju aktivno testiranje (binarna analiza, testiranje prodora, itd.) za kôd, posebno za osjetljive ili visokorizične sustave´, kao dio stupa potrošnje.
- Porast broja napada na lanac nabave softvera i rastući povezani troškovi i implikacije usklađenosti naglašavaju potrebu za većom transparentnošću među proizvođačima i kupcima poslovnog softvera - kazao je Mario Vuksan te je nadodao da je više nego ikad, ključno da timovi koji razvijaju i implementiraju softver mogu provjeriti komponente otvorenog, komercijalnog i vlasničkog softvera, identificirati prijetnje kao što su malware, neovlašteno mijenjanje i curenje tajni, te procijeniti rizik trećih strana i njime upravljati.