Berbagi teknologi

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

sumber:https://thehackernews.com/2024/06/panduan-praktis-untuk-mengamankan-anda.html

Tidak mengherankan jika organisasi produksi perangkat lunak menghadapi tekanan peraturan dan hukum yang semakin besar untuk melindungi rantai pasokan mereka dan memastikan integritas perangkat lunak mereka. Selama beberapa tahun terakhir, rantai pasokan perangkat lunak telah menjadi target yang semakin menarik bagi para penyerang, yang melihat peluang untuk meningkatkan serangan mereka hingga beberapa kali lipat. Misalnya, lihat kerentanan Log4j pada tahun 2021. Log4j (kerangka kerja logging sumber terbuka yang dikelola oleh Apache dan digunakan dalam banyak aplikasi berbeda) adalah sumber kerentanan yang membahayakan ribuan sistem.

Fungsi komunikasi Log4j rentan, sehingga memberikan peluang bagi penyerang untuk memasukkan kode berbahaya ke dalam log, yang kemudian dapat dieksekusi pada sistem. Setelah penemuannya, peneliti keamanan melihat jutaan upaya eksploitasi, banyak di antaranya berubah menjadi serangan penolakan layanan (DoS) yang berhasil. Menurut beberapa penelitian baru dari Gartner, hampir separuh organisasi perusahaan akan menjadi sasaran serangan rantai pasokan perangkat lunak pada tahun 2025.

Tapi apa yang dimaksud dengan rantai pasokan perangkat lunak? Pertama, ini didefinisikan sebagai jumlah seluruh kode, orang, sistem, dan proses di dalam dan di luar organisasi yang berkontribusi terhadap pengembangan dan pengiriman artefak perangkat lunak. Apa yang membuat pengamanan rantai pasokan perangkat lunak begitu menantang adalah kompleksitas dan sifat pengembangan aplikasi modern yang sangat terdistribusi. Organisasi mempekerjakan tim pengembang global yang mengandalkan ketergantungan sumber terbuka dalam jumlah yang belum pernah terjadi sebelumnya, serta repositori kode dan registrasi artefak yang luas, saluran CI/CD, dan sumber daya infrastruktur untuk membangun dan menerapkan aplikasi.

Meskipun keamanan dan kepatuhan selalu menjadi perhatian utama organisasi perusahaan, melindungi rantai pasokan perangkat lunak suatu organisasi semakin menantang. Namun, banyak organisasi telah mencapai kemajuan besar dalam menerapkan praktik DevSecOps, dan banyak dari mereka masih berada pada tahap awal dalam memikirkan apa yang harus dilakukan.

Itulah alasan kami menyusun artikel ini. Meskipun daftar berikut ini bukanlah daftar yang lengkap, berikut adalah empat prinsip panduan yang dapat mengarahkan upaya keamanan rantai pasokan perangkat lunak Anda ke arah yang benar.

Pertimbangkan semua aspek rantai pasokan perangkat lunak saat menerapkan keamanan

Mengingat lebih dari 80% basis kode mengandung setidaknya satu kerentanan sumber terbuka, ketergantungan OSS secara alami telah menjadi fokus utama keamanan rantai pasokan perangkat lunak. Namun, rantai pasokan perangkat lunak modern mencakup entitas lain yang postur keamanannya diabaikan atau tidak dipahami secara luas dalam organisasi agar dapat dikelola dengan baik. Entitas ini adalah repositori kode, pipeline CI dan CD, infrastruktur, dan pendaftar artefak, yang masing-masing memerlukan kontrol keamanan dan penilaian kepatuhan rutin.

Kerangka kerja seperti OWASP Top-10 untuk CI/CD dan tolok ukur keamanan rantai pasokan perangkat lunak CIS. Untuk mematuhi kerangka kerja ini, diperlukan RBAC yang cermat, menerapkan prinsip hak istimewa paling rendah, memindai container dan infrastruktur sebagai kode untuk mencari kerentanan dan kesalahan konfigurasi, mengisolasi build, mengintegrasikan pengujian keamanan aplikasi, dan mengelola rahasia dengan benar — hanya beberapa di antaranya.

SBOM sangat penting untuk memperbaiki masalah zero-day dan masalah komponen lainnya

Bagian dari Perintah Eksekutif 14028, yang dikeluarkan oleh Gedung Putih pada pertengahan tahun 2021 untuk memperkuat postur keamanan siber negara, mengharuskan produsen perangkat lunak untuk menyediakan Software Bill of Materials (SBOM) kepada pelanggan federal mereka. SBOM pada dasarnya adalah catatan formal yang dirancang untuk memberikan visibilitas ke seluruh komponen yang membentuk perangkat lunak. Mereka memberikan daftar terperinci yang dapat dibaca mesin dari semua pustaka open source dan pihak ketiga, dependensi, dan komponen yang digunakan untuk membangun perangkat lunak.

Terlepas dari apakah suatu organisasi diamanatkan oleh EO 14028 atau tidak, menghasilkan dan mengelola SBOM untuk artefak perangkat lunak adalah praktik yang berharga. SBOM adalah alat yang sangat diperlukan untuk memperbaiki masalah komponen atau kerentanan zero-day. Ketika disimpan dalam repositori yang dapat dicari, SBOM menyediakan peta keberadaan dependensi tertentu dan memungkinkan tim keamanan dengan cepat melacak kerentanan kembali ke komponen yang terpengaruh.

Mengelola siklus hidup pengembangan perangkat lunak menggunakan kebijakan sebagai kode

Dalam dunia pengembangan aplikasi modern, pagar pembatas yang kokoh merupakan alat penting dalam menghilangkan kesalahan dan tindakan disengaja yang membahayakan keamanan dan kepatuhan. Tata kelola yang tepat di seluruh rantai pasokan perangkat lunak berarti organisasi telah mempermudah untuk melakukan hal yang benar dan sangat sulit untuk melakukan hal yang salah.

Meskipun banyak platform dan alat menyediakan kebijakan siap pakai yang dapat dieksekusi dengan cepat, Policy-as-Code, berdasarkan standar industri Open Policy Agent, memungkinkan pembuatan dan pelaksanaan kebijakan yang sepenuhnya dapat disesuaikan. Kelola kebijakan mulai dari izin akses hingga mengizinkan atau menolak penggunaan dependensi OSS berdasarkan kriteria seperti vendor, versi, URL paket, dan lisensi.

Kemampuan untuk memverifikasi dan memastikan kepercayaan pada artefak perangkat lunak Anda menggunakan SLSA

Bagaimana pengguna dan konsumen mengetahui bahwa suatu perangkat lunak dapat dipercaya? Saat menentukan keandalan artefak perangkat lunak, Anda perlu mengetahui siapa yang menulis kode, siapa yang membuatnya, dan platform pengembangan apa yang digunakan untuk membuat kode tersebut. Mengetahui komponen apa saja yang ada didalamnya juga merupakan hal yang harus anda ketahui.

Setelah Anda dapat memverifikasi asal (catatan asal-usul perangkat lunak dan lacak balak), Anda dapat memutuskan apakah akan memercayai perangkat lunak tersebut. Untuk mencapai tujuan ini, kerangka kerja Artefak Perangkat Lunak Tingkat Rantai Pasokan (SLSA) telah dibuat. Hal ini memungkinkan organisasi produksi perangkat lunak untuk menangkap informasi dari segala aspek rantai pasokan perangkat lunak, memverifikasi properti artefak dan pembuatannya, dan mengurangi risiko masalah keamanan. Dalam praktiknya, organisasi produksi perangkat lunak harus mengadopsi dan mematuhi persyaratan kerangka kerja SLSA dan menerapkan metode validasi dan menghasilkan pengesahan perangkat lunak, yang merupakan klaim yang diautentikasi (metadata) tentang artefak perangkat lunak di seluruh rantai pasokan perangkat lunak.