Prima di tutto, voglio dire che solo perché un'azienda è grande non significa che la sua sicurezza sarà migliore.
Detto questo, menzionerò che aver svolto un lavoro di sicurezza in una grande numero di aziende Fortune 500, inclusi molti marchi famosi con cui la maggior parte delle persone ha familiarità, dirò che attualmente il 60-70% di loro non fa tutto quello che penseresti dovrebbe fare. Alcuni danno persino a centinaia di società di terze parti in tutto il mondo pieno accesso per estrarre dalla loro base di codice, ma non necessariamente per scrivere su di essa.
Alcuni utilizzano più repository Github privati per progetti separati con l'autenticazione a due fattori abilitata e uno stretto controllo su chi concedono l'accesso e hanno un processo per revocare rapidamente l'accesso quando qualcuno se ne va.
Alcuni altri sono molto seri nel proteggere le cose, quindi fanno tutto in casa e usano cosa per molti altri le aziende sembrerebbero livelli eccessivi di controllo della sicurezza e monitoraggio dei dipendenti. Queste aziende utilizzano soluzioni come gli strumenti DLP (Data Loss Prevention) per controllare l'esfiltrazione di codice, l'accesso VPN interno ad ambienti fortemente rinforzati solo per lo sviluppo con una tonnellata di controlli di sicurezza e monitoraggio tradizionali e, in alcuni casi, l'acquisizione di tutti i pacchetti completi traffico nell'ambiente in cui è memorizzato il codice. Ma a partire dal 2015 questa situazione è ancora molto rara.
Una cosa che può interessare e che mi è sempre sembrata insolita è che il settore finanziario, in particolare le banche, ha una sicurezza di gran lunga peggiore di quanto si potrebbe pensare e che l'industria farmaceutica è molto migliore di altre industrie, compresi molti appaltatori della difesa. Ci sono alcune industrie che sono assolutamente orribili riguardo alla sicurezza. Dico questo perché ci sono altre dinamiche in gioco: non sono solo le grandi aziende contro quelle piccole, gran parte ha a che fare con la cultura organizzativa.
Per rispondere alla tua domanda, sottolineerò che è l'azienda nel suo insieme a prendere queste decisioni e non i team di sicurezza. Se i team di sicurezza fossero responsabili di tutto, o anche solo sapessero di tutti i progetti in corso, le cose probabilmente non sarebbero per niente come fanno oggi.
Detto questo, dovresti tenere a mente che la maggior parte le imprese sono quotate in borsa e per una serie di ragioni tendono a preoccuparsi molto di più dei profitti a breve termine, dell'incontro con i numeri trimestrali e della competizione per la quota di mercato rispetto agli altri grandi concorrenti che dei rischi per la sicurezza, anche se i rischi potrebbero effettivamente distruggere la loro attività. Quindi tienilo a mente quando leggi le seguenti risposte.
-
Se il codice sorgente fosse stato rubato:
-
Alla maggior parte non importerebbe e non avrebbe quasi alcun impatto sul loro marchio o sulle vendite. Tieni presente che in molti casi il codice stesso non è ciò che memorizza il valore dell'offerta di un'azienda. Se qualcun altro ha ottenuto una copia della fonte di Windows 10, non potrebbe creare improvvisamente un'azienda che vende un sistema operativo clone di Windows 10 ed essere in grado di supportarlo. Il codice stesso è solo una parte della soluzione venduta.
-
Il prodotto sarebbe maggiormente a rischio a causa di ciò? Sì, assolutamente.
-
Modifica esterna: Sì, ma è più difficile da fare e più facile da catturare. Detto questo, dal momento che la maggior parte delle aziende non lo sta monitorando seriamente, è una possibilità molto reale che ciò sia accaduto a molte grandi aziende, specialmente se l'accesso back-door al loro software è di valore significativo per altri stati-nazione. Questo probabilmente accade molto più spesso di quanto le persone credano.
-
Attaccante interno: a seconda di quanto intelligente fosse l'attaccante, questo potrebbe non essere mai notato o potrebbe sembrare un errore di programmazione poco appariscente. Al di fuori dei controlli in background e del monitoraggio del comportamento, non c'è molto che possa impedirlo, ma si spera che alcuni strumenti di analisi del codice sorgente lo catturino e costringano il team a correggerlo. Questo è un attacco particolarmente duro da cui difendersi ed è il motivo per cui alcune aziende non esternalizzano il lavoro ad altri paesi e fanno controlli approfonditi sui loro sviluppatori. Gli strumenti di analisi statica del codice sorgente stanno migliorando, ma ci sarà sempre un divario tra ciò che possono rilevare e ciò che può essere fatto.
In poche parole, i buchi arriveranno sempre prima delle correzioni, quindi affrontare la maggior parte dei problemi di sicurezza diventa una specie di corsa contro il tempo. Gli strumenti di sicurezza aiutano a darti dei compromessi in termini di tempo, ma non avrai mai una sicurezza "perfetta" e avvicinarti a questo può diventare molto costoso in termini di tempo (rallentando gli sviluppatori o richiedendo molte più ore di lavoro da qualche altra parte).
Di nuovo, solo perché un'azienda è grande non significa che abbia una buona sicurezza. Ho visto alcune piccole aziende con una sicurezza molto migliore rispetto ai loro concorrenti più grandi e penso che questo sarà sempre più il caso poiché le aziende più piccole che vogliono prendere la loro sicurezza più seriamente non devono fare cambiamenti organizzativi, in cui le aziende più grandi saranno costrette a mantenere il modo in cui hanno fatto le cose in passato a causa dei costi di transizione.
Ancora più importante, penso che sia più facile per una nuova azienda (di qualsiasi dimensione, ma soprattutto quelle più piccole) avere la sicurezza fortemente integrata nella sua cultura di base piuttosto che dover cambiare le loro culture attuali / legacy come devono fare le aziende più vecchie. Potrebbero anche esserci opportunità per sottrarre quote di mercato a un prodotto meno sicuro creando una versione molto sicura di esso. Allo stesso modo, penso che la tua domanda sia importante per un motivo completamente diverso: la sicurezza è ancora agli inizi, quindi abbiamo bisogno di soluzioni migliori in aree come la gestione del codice in cui c'è molto spazio per miglioramenti.