اتخذ National Institute of Standards and Technology (NIST) خطوة حاسمة نحو تعزيز ممارسات الأمن السيبراني من خلال الكشف عن مسودة وثيقة رائدة. يتمحور هذا الدليل الرائد حول دمج ضمانات أمان سلسلة توريد البرامج في خطوط أنابيب التكامل المستمر / النشر المستمر (CI/CD)، والتي أصبحت ذات أهمية متزايدة في المشهد الرقمي الحالي.
تعد بنية الخدمات الصغيرة أمرًا أساسيًا في تشغيل التطبيقات السحابية الأصلية، والتي غالبًا ما تكون مقترنة ببنية تحتية مركزية للخدمة، مثل شبكة الخدمة. تؤكد مسودة الوثيقة الجديدة الصادرة عن NIST على أهمية DevSecOps في تطوير هذه التطبيقات، حيث تلعب خطوط CI/CD دورًا محوريًا في توجيه البرامج عبر مراحل مثل البناء والاختبار والحزم والنشر، وهي عملية تعكس سلسلة توريد البرامج.
وفي حديثه عن قيمة مسودة الوثيقة في النظام البيئي التكنولوجي، سلط الباحث الأمني في Endor Labs، هنريك بليت، الضوء على كيف أنها تقدم يدًا إرشادية لمنظمات التنمية. ما برز بالنسبة لـ Plate هو تركيز الوثيقة على إجراءات التحكم في الوصول التي تحدد الأدوار والتفويضات لحسابات المستخدمين والخدمة ضمن مسارات CI/CD، مع الالتزام بمبادئ الامتيازات الأقل والحاجة إلى المعرفة. في حين أن عملية إدارة هذه التراخيص العديدة عبر الأنظمة والخدمات أثناء تنفيذ التدفق قد تكون صعبة، فمن المتوقع أن يكون الإطار الذي توفره NIST مفيدًا جدًا.
تستجيب مسودة NIST الجديدة للعديد من التقييمات الحديثة لنقاط الضعف والهجمات البرمجية، والتي دفعت مؤسسات القطاعين العام والخاص الناشطة في تطوير البرمجيات ونشرها وتكاملها إلى إعطاء الأولوية للأمن عبر دورة حياة تطوير البرمجيات (SDLC) بأكملها.
توضح الوثيقة أن أمان سلسلة توريد البرامج (SSC) يعتمد على سلامة المراحل مثل البناء والاختبار والحزم والنشر. ونتيجة لذلك، يمكن أن تنشأ نقاط الضعف ليس فقط من جهات التهديد الخبيثة ولكن أيضًا من الهفوات والرقابة أثناء SDLC.
تعترف مسودة الوثيقة أيضًا بالتحديات التي قد تنشأ أثناء تنفيذ الخطوات الهائلة اللازمة لأمن SSC في SDLC. وكما يشير بليت، تؤكد الوثيقة على أنه قد يكون هناك اضطراب كبير في العمليات التجارية الأساسية والتكاليف التشغيلية.
تؤكد مسودة NIST على أهمية Secure Software Development Framework (SSDF) ، والذي يعد في الأساس سلسلة من ممارسات تطوير البرمجيات القوية والآمنة المستندة إلى وثائق تطوير البرمجيات الآمنة من المنظمات ذات السمعة الطيبة مثل BSA وOWASP وSAFECode.
ومن المثير للاهتمام أن المسودة تتناول متطلبات الإقرار الذاتي المرتقبة والتي ستجعل مقدمي البرامج يشهدون على التزامهم بممارسات التطوير الآمنة لـ SSDF. وهذا مهم بشكل خاص في سياق DevSecOps وخطوط أنابيب CI/CD ويحدد أيضًا ما يعتبر ضروريًا من الناحية الأمنية.
أحد المخاوف المهمة التي أثارها Plate هو أن اعتماد الأدوات كان بطيئًا نسبيًا، مثل Sigstore وin-toto، المصممة لتعزيز سلاسل توريد البرامج.
وتشجع المسودة المؤسسات على التعامل مع إدارة مخاطر المصادر المفتوحة بشكل كلي، بدلاً من التركيز فقط على اكتشاف العيوب. يجب أن تأخذ في الاعتبار اعتبارات مثل جودة الكود وأنشطة المشروع الأخرى ومؤشرات المخاطر التي تساعد على تقليل المخاطر الأمنية والتشغيلية.
تركز المسودة التي أعدتها NIST على جمهور واسع النطاق، وتستهدف الممارسين في صناعة البرمجيات؛ ويشمل ذلك مهندسي البرمجيات ومهندسي موثوقية الموقع ومديري المنتجات أو المشاريع، جنبًا إلى جنب مع مهندسي ومهندسي الأمان. وأمام أفراد الجمهور مهلة حتى 13 أكتوبر 2023 لتقديم تعليقاتهم على المسودة.
من خلال الاستفادة من الأنظمة الأساسية no-code مثل AppMaster ، يمكن للشركات تضخيم أمان بياناتها ضمن مسارات CI/CD، وتقديم برامج آمنة، والمساهمة في تعزيز سلسلة توريد البرامج بأكملها. مع أكثر من 60.000 مستخدم حتى أبريل 2023، يمكن لمنصة AppMaster أن تعمل بكفاءة كأداة تمكين أمنية لمختلف الشركات ذات الأحجام المختلفة، وهو أمر ذو أهمية خاصة في سياق نشر مسودة وثيقة NIST.
