2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
lähde:https://thehackernews.com/2024/06/practical-guidance-for-securing-your.html
Ei ole yllätys, että ohjelmistotuotantoorganisaatiot kohtaavat kasvavaa sääntely- ja lakipainetta suojellakseen toimitusketjujaan ja varmistaakseen ohjelmistojensa eheyden. Viime vuosina ohjelmistojen toimitusketjusta on tullut yhä houkuttelevampi kohde hyökkääjille, jotka näkevät mahdollisuuden lisätä hyökkäyksiään suuruusluokkaa. Katso esimerkiksi Log4j-haavoittuvuuksia vuonna 2021. Log4j (Apachen ylläpitämä avoimen lähdekoodin kirjauskehys, jota käytetään lukemattomissa eri sovelluksissa) oli haavoittuvuuksien lähde, jotka vaaransivat tuhansia järjestelmiä.
Log4j:n viestintätoiminto on haavoittuvainen, mikä tarjoaa hyökkääjille mahdollisuuden syöttää lokeihin haitallista koodia, joka voidaan sitten suorittaa järjestelmässä. Sen löytämisen jälkeen tietoturvatutkijat näkivät miljoonia hyväksikäyttöyrityksiä, joista monet muuttuivat onnistuneiksi palvelunestohyökkäyksiksi (DoS). Joidenkin Gartnerin uusien tutkimusten mukaan lähes puolet yritysorganisaatioista joutuu ohjelmistojen toimitusketjuhyökkäysten kohteeksi vuoteen 2025 mennessä.
Mutta mikä on ohjelmistojen toimitusketju? Ensinnäkin se määritellään kaikkien koodien, ihmisten, järjestelmien ja prosessien summaksi organisaatiossa ja sen ulkopuolella, jotka osallistuvat ohjelmistoartefaktien kehittämiseen ja toimittamiseen. Mikä tekee ohjelmistojen toimitusketjun turvaamisesta niin haastavaa, on nykyaikaisten sovellusten kehittämisen monimutkaisuus ja erittäin hajautettu luonne. Organisaatiot työllistävät maailmanlaajuisia kehittäjäryhmiä, jotka luottavat ennennäkemättömään määrään avoimen lähdekoodin riippuvuuksia sekä laajoja koodivarastoja ja artefaktirekisterejä, CI/CD-putkia ja infrastruktuuriresursseja sovellusten rakentamiseen ja käyttöönottoon.
Vaikka turvallisuus ja vaatimustenmukaisuus ovat aina olleet yritysorganisaatioiden tärkeimpiä huolenaiheita, organisaation ohjelmistojen toimitusketjun suojaaminen on yhä haastavampaa. Monet organisaatiot ovat kuitenkin edistyneet huomattavasti DevSecOps-käytäntöjen käyttöönotossa, ja monet heistä ovat vielä alkuvaiheessa pohtiessaan, mitä tehdä.
Juuri siksi kokosimme tämän artikkelin yhteen. Vaikka seuraava luettelo ei suinkaan ole tyhjentävä, tässä on neljä ohjaavaa periaatetta, jotka voivat saada ohjelmistojen toimitusketjun tietoturvatoimet etenemään oikeaan suuntaan.
Koska yli 80 % koodikannoista sisältää ainakin yhden avoimen lähdekoodin haavoittuvuuden, OSS-riippuvuuksista on luonnollisesti tullut ohjelmistojen toimitusketjun turvallisuuden ydin. Nykyaikaiseen ohjelmistojen toimitusketjuun kuuluu kuitenkin muita kokonaisuuksia, joiden tietoturva-asetelma joko jää huomiotta tai joita ei ymmärretä organisaatiossa laajalti hallittavaksi. Nämä entiteetit ovat koodivarastoja, CI- ja CD-putkistoja, infrastruktuuria ja artefaktirekisterejä, joista jokainen edellyttää suojauksen valvontaa ja säännöllisiä vaatimustenmukaisuuden arviointeja.
Kehykset, kuten OWASP Top-10 CI/CD- ja CIS-ohjelmistojen toimitusketjun tietoturvan vertailuarvoille. Näiden kehysten noudattaminen edellyttää hienorakeista RBAC:tä, vähiten etuoikeuksien periaatetta, säiliöiden ja infrastruktuurin skannausta haavoittuvuuksien ja virheellisten määritysten varalta, koontiversioiden eristämistä, sovellusten suojaustestauksen integrointia ja salaisuuksien asianmukaista hallintaa – vain muutamia mainitakseni.
Osa Valkoisen talon vuoden 2021 puolivälissä antamasta toimeenpanomääräyksestä 14028, jolla vahvistetaan maan kyberturvallisuusasemaa, vaatii ohjelmistotuottajia toimittamaan Software Bill of Materials (SBOM) -asiakkaan liittovaltion asiakkailleen. SBOM:t ovat pohjimmiltaan muodollisia tietueita, jotka on suunniteltu tarjoamaan näkyvyyttä kaikkiin ohjelmiston komponentteihin. Ne tarjoavat yksityiskohtaisen koneellisesti luettavan luettelon kaikista avoimen lähdekoodin ja kolmannen osapuolen kirjastoista, riippuvuuksista ja komponenteista, joita on käytetty ohjelmiston rakentamiseen.
Riippumatta siitä, onko organisaatiolla EO 14028:n valtuutus, ohjelmistoartefakttien SBOM-tiedostojen luominen ja hallinta on arvokasta käytäntöä. SBOM on välttämätön työkalu komponenttiongelmien tai nollapäivän haavoittuvuuksien korjaamiseen. Kun SBOM tallennetaan haettavissa olevaan arkistoon, se tarjoaa kartan tiettyjen riippuvuuksien esiintymisestä ja mahdollistaa tietoturvatiimien nopean jäljittää haavoittuvuudet kyseiseen komponenttiin.
Nykyaikaisen sovelluskehityksen maailmassa tukevat suojakaiteet ovat olennainen työkalu turvallisuutta ja vaatimustenmukaisuutta vaarantavien virheiden ja tahallisten toimien eliminoinnissa. Asianmukainen hallinto koko ohjelmiston toimitusketjussa tarkoittaa, että organisaatiot ovat tehneet oikeiden asioiden tekemisen helpoksi ja väärien asioiden tekemisen erittäin vaikeaksi.
Vaikka monet alustat ja työkalut tarjoavat valmiita käytäntöjä, jotka voidaan suorittaa nopeasti, Policy-as-Code, joka perustuu Open Policy Agent -alan standardiin, mahdollistaa täysin muokattavissa olevien käytäntöjen luomisen ja suorittamisen. Hallinnoi käytäntöjä käyttöoikeuksista OSS-riippuvuuksien käytön sallimiseen tai kieltämiseen sellaisten kriteerien perusteella kuin toimittaja, versio, paketin URL-osoite ja lisenssi.
Mistä käyttäjät ja kuluttajat tietävät, että ohjelmisto on luotettava? Kun määrität ohjelmistoartefaktin luotettavuutta, haluat tietää, kuka kirjoitti koodin, kuka sen on rakentanut ja mille kehitysalustalle se on rakennettu. Sinun pitäisi myös tietää, mitä komponentteja sisällä on.
Kun olet tarkistanut alkuperän (tieto ohjelmiston alkuperästä ja alkuperäketjusta), voit päättää, luotatko ohjelmistoon. Tätä tarkoitusta varten luotiin Supply Chain Level of Software Artifacts (SLSA) -kehys. Sen avulla ohjelmistotuotantoorganisaatiot voivat kaapata tietoa mistä tahansa ohjelmiston toimitusketjun osa-alueesta, tarkistaa artefaktien ja niiden rakenneosien ominaisuudet ja vähentää tietoturvaongelmien riskiä. Käytännössä ohjelmistotuotantoorganisaatioiden on omaksuttava ja noudatettava SLSA-kehyksen vaatimuksia ja otettava käyttöön menetelmä, jolla validoidaan ja luodaan ohjelmistotodistuksia, jotka ovat todennettuja väitteitä (metadata) ohjelmistoartefakteista koko ohjelmiston toimitusketjussa.
Hän on omistautunut teknologian tutkimukselle yli 30 vuoden ajan ja hallitsee useita kieliä, kuten java, linux, javascript, php, css jne. Hän on tehnyt paljon työtä avoimen lähdekoodin alalla Kehittäjän dokumentaatioasema, jossa voit jakaa joitakin teknologian kehittämisen ongelmia myöhempää käyttöä varten
