प्रौद्योगिकी साझेदारी

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

स्रोतः:https://thehackernews.com/2024/06/भवतः-सुरक्षितीकरणाय-व्यावहारिक-मार्गदर्शन.html

सॉफ्टवेयरनिर्माणसंस्थाः स्वस्य आपूर्तिशृङ्खलानां रक्षणार्थं स्वस्य सॉफ्टवेयरस्य अखण्डतां सुनिश्चित्य च वर्धमानस्य नियामककानूनीदबावस्य सामनां कुर्वन्ति इति कोऽपि आश्चर्यं नास्ति विगतकेषु वर्षेषु सॉफ्टवेयर-आपूर्ति-शृङ्खला आक्रमणकारिणां कृते अधिकाधिकं आकर्षकं लक्ष्यं जातम्, ये स्व-आक्रमणं परिमाण-क्रमेण वर्धयितुं अवसरं पश्यन्ति उदाहरणार्थं, 2021 तमे वर्षे Log4j दुर्बलतां पश्यन्तु Log4j (अपाचे द्वारा परिपालितः एकः मुक्तस्रोत-लॉगिंग-रूपरेखा च असंख्य-विभिन्न-अनुप्रयोगेषु उपयुज्यते) दुर्बलतायाः स्रोतः आसीत् यत् सहस्राणि प्रणाल्याः जोखिमे स्थापयति स्म

Log4j इत्यस्य संचारकार्यक्षमता दुर्बलं भवति, अतः आक्रमणकारिणां कृते लॉग्स् मध्ये दुर्भावनापूर्णसङ्केतं प्रविष्टुं अवसरः प्राप्यते, यत् ततः प्रणाल्यां निष्पादयितुं शक्यते तस्य आविष्कारस्य अनन्तरं सुरक्षासंशोधकाः कोटिकोटिशोषणप्रयासान् दृष्टवन्तः, येषु बहवः सफलेषु सेवा-अस्वीकारेषु (DoS) आक्रमणेषु परिणताः । गार्टनर् इत्यस्य केषाञ्चन नूतनसंशोधनानाम् अनुसारं २०२५ तमे वर्षे यावत् उद्यमसङ्गठनानां प्रायः आर्धं सॉफ्टवेयर-आपूर्ति-शृङ्खला-आक्रमणानां लक्ष्यं भविष्यति ।

परन्तु सॉफ्टवेयर-आपूर्ति-शृङ्खला किम् ? प्रथमं, सॉफ्टवेयर-कलाकृतीनां विकासे वितरणे च योगदानं दत्तवन्तः संस्थायाः अन्तः बहिश्च सर्वेषां कोडानाम्, जनानां, प्रणालीनां, प्रक्रियाणां च योगः इति परिभाषितम् सॉफ्टवेयर-आपूर्ति-शृङ्खलायाः सुरक्षितीकरणं यत् एतावत् चुनौतीपूर्णं करोति तत् आधुनिक-अनुप्रयोगानाम् विकासस्य जटिलता, अत्यन्तं वितरिता च प्रकृतिः । संस्थाः विकासकानां वैश्विकदलानि नियोजयन्ति ये अभूतपूर्वसङ्ख्यायां मुक्तस्रोतनिर्भरतायाः उपरि अवलम्बन्ते, तथैव विस्तृताः कोडभण्डाराः तथा च आर्टिफैक्ट् रजिस्ट्री, CI/CD पाइपलाइनाः, अनुप्रयोगानाम् निर्माणाय परिनियोजनाय च आधारभूतसंसाधनानाम् उपरि अवलम्बन्ते

यद्यपि उद्यमसङ्गठनानां कृते सुरक्षा अनुपालनं च सर्वदा शीर्षचिन्ता आसीत् तथापि संस्थायाः सॉफ्टवेयर-आपूर्ति-शृङ्खलायाः रक्षणं अधिकाधिकं चुनौतीपूर्णं भवति परन्तु अनेकेषां संस्थानां DevSecOps-प्रथानां कार्यान्वयनस्य पर्याप्तं प्रगतिः अभवत्, तेषु बहवः अद्यापि किं कर्तव्यमिति चिन्तनस्य प्रारम्भिकपदे एव दृश्यन्ते

अत एव वयम् अयं लेखः एकत्र स्थापयामः । यद्यपि निम्नलिखितम् कथमपि सम्पूर्णसूची नास्ति तथापि अत्र चत्वारि मार्गदर्शकसिद्धान्ताः सन्ति ये भवतः सॉफ्टवेयर-आपूर्ति-शृङ्खला-सुरक्षा-प्रयत्नाः समीचीनदिशि गन्तुं शक्नुवन्ति

सुरक्षां प्रयोजयन् सॉफ्टवेयर-आपूर्ति-शृङ्खलायाः सर्वान् पक्षान् विचारयन्तु

८०% अधिकेषु कोड-आधारेषु न्यूनातिन्यूनम् एकं मुक्त-स्रोत-असुरक्षां भवति इति दृष्ट्वा, OSS-निर्भरता स्वाभाविकतया सॉफ्टवेयर-आपूर्ति-शृङ्खला-सुरक्षायाः मूलकेन्द्रं जातम् परन्तु आधुनिकसॉफ्टवेयर-आपूर्ति-शृङ्खलायां अन्ये संस्थाः सन्ति येषां सुरक्षा-मुद्रा सम्यक् प्रबन्धयितुं संस्थायाः अन्तः उपेक्षिता वा व्यापकतया न अवगता वा एतानि संस्थानि कोडभण्डाराः, CI तथा CD पाइपलाइनाः, आधारभूतसंरचना, आर्टिफैक्ट् रजिस्ट्री च सन्ति, येषु प्रत्येकं सुरक्षानियन्त्रणं नियमितरूपेण अनुपालनमूल्यांकनं च आवश्यकं भवति

CI/CD तथा CIS सॉफ्टवेयर आपूर्तिश्रृङ्खला सुरक्षामापदण्डानां कृते OWASP Top-10 इत्यादीनि रूपरेखाः। एतेषां ढाञ्चानां अनुपालनाय सूक्ष्मकणिकायुक्तस्य RBAC इत्यस्य आवश्यकता भविष्यति, न्यूनतमविशेषाधिकारस्य सिद्धान्तस्य प्रयोगः, दुर्बलतानां दुर्विन्यासानां च कृते पात्राणां तथा आधारभूतसंरचना-रूपेण-सङ्केतस्य स्कैनिङ्गं, निर्माणानां पृथक्करणं, अनुप्रयोगसुरक्षापरीक्षणस्य एकीकरणं, रहस्यानां सम्यक् प्रबन्धनं च आवश्यकं भविष्यति — केवलं कतिपयानां नामकरणार्थम्

शून्यदिवसस्य अन्यघटकसमस्यानां निवारणाय एसबीओएम महत्त्वपूर्णः अस्ति

राष्ट्रस्य साइबरसुरक्षामुद्रां सुदृढां कर्तुं २०२१ तमस्य वर्षस्य मध्यभागे व्हाइट हाउसेन जारीकृतस्य कार्यकारीआदेशस्य १४०२८ इत्यस्य भागः अस्ति यत् सॉफ्टवेयरनिर्मातृभ्यः स्वसङ्घीयग्राहकेभ्यः सॉफ्टवेयरबिल आफ् मटेरियल्स् (SBOM) प्रदातुं आवश्यकम् अस्ति एसबीओएम मूलतः औपचारिकाः अभिलेखाः सन्ति ये सॉफ्टवेयरं निर्मायन्ते ये सर्वेऽपि घटकाः दृश्यतां प्रदातुं विनिर्मिताः सन्ति । ते सर्वेषां मुक्तस्रोतस्य तृतीयपक्षस्य च पुस्तकालयानाम्, आश्रयाणां, सॉफ्टवेयरस्य निर्माणार्थं प्रयुक्तानां घटकानां च विस्तृतं यन्त्रपठनीयं सूचीं प्रददति ।

EO 14028 द्वारा कश्चन संगठनः अनिवार्यः अस्ति वा इति न कृत्वा, सॉफ्टवेयर-आर्टिफैक्ट्-कृते SBOM-जननं प्रबन्धनं च बहुमूल्यम् अभ्यासः अस्ति । घटकसमस्यानां अथवा शून्यदिवसस्य दुर्बलतानां निवारणाय एसबीओएम अनिवार्यं साधनम् अस्ति । यदा अन्वेषणीयभण्डारे संगृह्यते तदा SBOM विशिष्टनिर्भरतायाः उपस्थितेः मानचित्रं प्रदाति तथा च सुरक्षादलानि शीघ्रं प्रभावितघटकं प्रति दुर्बलतानां अनुसन्धानं कर्तुं समर्थं करोति

नीतिं कोडरूपेण उपयुज्य सॉफ्टवेयरविकासजीवनचक्रस्य प्रबन्धनम्

आधुनिक-अनुप्रयोग-विकासस्य जगति, सुरक्षा-अनुपालनस्य च क्षतिं जनयन्तः त्रुटयः, इच्छित-क्रियाः च निवारयितुं शिला-ठोस-गार्डरेल्-इत्येतत् अत्यावश्यकं साधनम् अस्ति सम्पूर्णे सॉफ्टवेयर-आपूर्ति-शृङ्खले समुचित-शासनस्य अर्थः अस्ति यत् संस्थाभिः समीचीनकार्यं कर्तुं सुलभं, गलत्-कार्यं कर्तुं च अत्यन्तं कठिनं कृतम्

यद्यपि बहवः मञ्चाः साधनानि च शीघ्रं निष्पादयितुं शक्यन्ते इति पेटीतः बहिः नीतयः प्रदास्यन्ति तथापि मुक्तनीति-एजेण्ट् उद्योगमानकस्य आधारेण नीति-सङ्केतरूपेण पूर्णतया अनुकूलनीयनीतीनां लेखनं निष्पादनं च सक्षमं करोति विक्रेता, संस्करणं, संकुल URL, अनुज्ञापत्रं च इत्यादीनां मापदण्डानां आधारेण अभिगमन-अनुमतिभ्यः आरभ्य OSS-निर्भरतायाः उपयोगस्य अनुमतिं वा अङ्गीकारं वा यावत् नीतयः प्रबन्धयन्तु ।

SLSA इत्यस्य उपयोगेन स्वस्य सॉफ्टवेयर-आर्टिफैक्ट्-मध्ये विश्वासं सत्यापयितुं सुनिश्चितं कर्तुं च क्षमता

उपयोक्तारः उपभोक्तारश्च कथं जानन्ति यत् कश्चन सॉफ्टवेयरः विश्वसनीयः अस्ति? सॉफ्टवेयर आर्टिफैक्ट् इत्यस्य विश्वसनीयतां निर्धारयन्ते सति भवान् ज्ञातुम् इच्छति यत् कोडः केन लिखितः, केन निर्मितः, कस्मिन् विकासमञ्चे निर्मितम् इति । अन्तः के घटकाः सन्ति इति ज्ञात्वा अपि भवता ज्ञातव्यम् ।

एकदा भवान् उत्पत्तिं (सॉफ्टवेयरस्य उत्पत्तिस्य अभिलेखः, अभिरक्षणशृङ्खला च) सत्यापयितुं शक्नोति तदा भवान् सॉफ्टवेयरस्य विश्वासं कर्तुं शक्नोति वा इति निर्णयं कर्तुं शक्नोति । अस्य कृते सॉफ्टवेयर आर्टिफैक्ट्स् इत्यस्य आपूर्तिश्रृङ्खलास्तरस्य (SLSA) रूपरेखा निर्मितवती । एतत् सॉफ्टवेयर-उत्पादन-सङ्गठनानि सॉफ्टवेयर-आपूर्ति-शृङ्खलायाः कस्यापि पक्षात् सूचनां गृहीतुं, कलाकृतीनां तेषां निर्माणानां च गुणानाम् सत्यापनार्थं, सुरक्षा-समस्यानां जोखिमं न्यूनीकर्तुं च समर्थयति व्यवहारे सॉफ्टवेयर-उत्पादन-सङ्गठनानि SLSA-रूपरेखा-आवश्यकतानां स्वीकरणं अनुपालनं च अवश्यं कुर्वन्ति तथा च सॉफ्टवेयर-प्रमाणीकरणस्य प्रमाणीकरणस्य, जननस्य च पद्धतिं कार्यान्वितुं अर्हन्ति, ये सम्पूर्णे सॉफ्टवेयर-आपूर्ति-शृङ्खले सॉफ्टवेयर-कलाकृतीनां विषये प्रमाणीकृत-दावाः (मेटाडाटा) सन्ति