১২ সেপ, ২০২৩·1 মিনিট পড়তে

CI/CD পাইপলাইন সংশোধন করা: NIST সফ্টওয়্যার সাপ্লাই চেইন নিরাপত্তা জোরদার করার জন্য খসড়া ফ্রেমওয়ার্ক উন্মোচন করে

সাম্প্রতিক সফ্টওয়্যার আক্রমণের প্রতিক্রিয়া হিসাবে, ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) সিআই/সিডি সফ্টওয়্যার পাইপলাইনে সুরক্ষা ব্যবস্থাগুলিকে একীভূত করার জন্য একটি খসড়া রূপরেখা কৌশল প্রকাশ করেছে৷

National Institute of Standards and Technology (NIST) একটি যুগান্তকারী খসড়া নথি উন্মোচনের মাধ্যমে সাইবার নিরাপত্তা অনুশীলন বাড়ানোর দিকে একটি গুরুত্বপূর্ণ পদক্ষেপ নিয়েছে। এই ট্রেলব্লাজিং গাইডটি সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষা সুরক্ষাগুলির একীকরণের উপর কেন্দ্রীভূত হয়েছে ক্রমাগত ইন্টিগ্রেশন / কন্টিনিউয়াস ডিপ্লোয়মেন্ট (CI/CD) পাইপলাইনে, যা বর্তমান ডিজিটাল ল্যান্ডস্কেপে ক্রমশ গুরুত্বপূর্ণ হয়ে উঠছে।

ক্লাউড-নেটিভ অ্যাপ্লিকেশানগুলির ক্রিয়াকলাপের কেন্দ্রবিন্দু হল একটি মাইক্রোসার্ভিসেস আর্কিটেকচার, যা প্রায়শই একটি পরিষেবা জালের মতো কেন্দ্রীভূত পরিষেবা পরিকাঠামোর সাথে যুক্ত থাকে। NIST এর নতুন খসড়া নথি এই অ্যাপ্লিকেশনগুলির বিকাশে DevSecOps-এর গুরুত্বের ওপর জোর দেয়, যার মধ্যে CI/CD পাইপলাইনগুলি স্টিয়ারিং সফ্টওয়্যার নির্মাণ, পরীক্ষা, প্যাকেজ এবং স্থাপনার মতো ধাপগুলির মাধ্যমে প্রধান ভূমিকা পালন করে, একটি প্রক্রিয়া যা একটি সফ্টওয়্যার সরবরাহ শৃঙ্খলকে প্রতিফলিত করে৷

টেক ইকোসিস্টেমের খসড়া নথির মূল্য সম্পর্কে কথা বলতে গিয়ে, এন্ডোর ল্যাবসের নিরাপত্তা গবেষক, হেনরিক প্লেট, হাইলাইট করেছেন যে এটি কীভাবে উন্নয়ন সংস্থাগুলির জন্য একটি গাইড হাত অফার করে। প্লেটের জন্য যা দাঁড়িয়েছিল তা হল নথির অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থার উপর জোর দেওয়া যা CI/CD পাইপলাইনের মধ্যে ব্যবহারকারী এবং পরিষেবা অ্যাকাউন্টগুলির জন্য ভূমিকা এবং অনুমোদন নির্ধারণ করে, ন্যূনতম-সুবিধা এবং জানা-জানার নীতিগুলির সাথে লেগে থাকা। পাইপলাইন নির্বাহের সময় সিস্টেম এবং পরিষেবা জুড়ে এই অসংখ্য অনুমোদন পরিচালনার প্রক্রিয়াটি চ্যালেঞ্জিং হতে পারে, NIST দ্বারা প্রদত্ত কাঠামোটি দুর্দান্ত সহায়ক হবে বলে আশা করা হচ্ছে।

NIST এর নতুন খসড়াটি সফ্টওয়্যার দুর্বলতা এবং আক্রমণের বেশ কয়েকটি সাম্প্রতিক মূল্যায়নের প্রতিক্রিয়া জানায়, যা সফ্টওয়্যার উন্নয়ন, স্থাপনা এবং একীকরণে সক্রিয় সরকারী এবং বেসরকারী উভয় সংস্থাকে সমগ্র সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) জুড়ে নিরাপত্তাকে অগ্রাধিকার দিতে উদ্বুদ্ধ করেছে।

নথিতে উল্লেখ করা হয়েছে যে সফ্টওয়্যার সাপ্লাই চেইন (SSC) এর নিরাপত্তা বিল্ড, টেস্ট, প্যাকেজ এবং ডিপ্লয়য়ের মতো পর্যায়গুলির অখণ্ডতার উপর নির্ভরশীল। ফলস্বরূপ, দুর্বলতাগুলি শুধুমাত্র দূষিত হুমকি অভিনেতাদের থেকে নয় বরং SDLC চলাকালীন ত্রুটি এবং তদারকি থেকেও উদ্ভূত হতে পারে।

খসড়া নথিটি SDLC-তে SSC সুরক্ষার জন্য প্রয়োজনীয় বিশাল পদক্ষেপগুলি বাস্তবায়ন করার সময় যে চ্যালেঞ্জগুলি দেখা দিতে পারে সেগুলিকেও স্বীকার করে। প্লেট নির্দেশ করে, নথিটি জোর দেয় যে অন্তর্নিহিত ব্যবসায়িক প্রক্রিয়া এবং অপারেশনাল খরচগুলিতে উল্লেখযোগ্য ব্যাঘাত ঘটতে পারে।

NIST এর খসড়া Secure Software Development Framework (SSDF) এর গুরুত্বের ওপর জোর দেয়, যা মূলত BSA, OWASP, এবং SAFECode-এর মতো স্বনামধন্য প্রতিষ্ঠানের সুরক্ষিত সফ্টওয়্যার ডেভেলপমেন্ট নথির উপর ভিত্তি করে কঠিন, সুরক্ষিত সফ্টওয়্যার উন্নয়ন অনুশীলনের একটি সিরিজ।

মজার বিষয় হল, খসড়াটি আসন্ন স্ব-প্রত্যয়ন প্রয়োজনীয়তাকে সম্বোধন করে যাতে সফ্টওয়্যার প্রদানকারীরা SSDF এর নিরাপদ উন্নয়ন অনুশীলনের আনুগত্যের সাক্ষ্য দেয়। এটি বিশেষ করে DevSecOps, CI/CD পাইপলাইনের প্রেক্ষাপটে প্রাসঙ্গিক এবং এটিও সংজ্ঞায়িত করে যে নিরাপত্তা-ভিত্তিক প্রয়োজনীয় বলে মনে করা হয়।

প্লেটের দ্বারা উত্থাপিত একটি উল্লেখযোগ্য উদ্বেগ হল যে সফ্টওয়্যার সরবরাহ চেইনগুলিকে উন্নত করার জন্য ডিজাইন করা সিগস্টোর এবং ইন-টোটোর মতো সরঞ্জামগুলির জন্য দত্তক নেওয়া তুলনামূলকভাবে মন্থর।

খসড়াটি শুধুমাত্র ত্রুটি সনাক্তকরণের উপর ফোকাস না করে, ওপেন সোর্স ঝুঁকি ব্যবস্থাপনাকে সামগ্রিকভাবে যোগাযোগ করতে উত্সাহিত করে। তাদের বিবেচনায় নেওয়া উচিত যেমন কোডের গুণমান, এবং অন্যান্য প্রকল্পের কার্যকলাপ, ঝুঁকি সূচক যা নিরাপত্তা এবং অপারেশনাল উভয় ঝুঁকি কমাতে সাহায্য করে।

বিস্তৃত শ্রোতার দিকে দৃষ্টি নিবদ্ধ করে, NIST এর খসড়াটি সফ্টওয়্যার শিল্পের অনুশীলনকারীদের লক্ষ্য করে; এর মধ্যে রয়েছে সফ্টওয়্যার প্রকৌশলী, সাইট নির্ভরযোগ্যতা প্রকৌশলী এবং পণ্য বা প্রকল্প পরিচালক, নিরাপত্তা স্থপতি এবং প্রকৌশলী সহ। জনসাধারণের সদস্যদের খসড়াটিতে তাদের মন্তব্য প্রদানের জন্য 13 অক্টোবর, 2023 পর্যন্ত সময় আছে।

AppMaster মতো no-code প্ল্যাটফর্মগুলিকে কাজে লাগানোর মাধ্যমে, ব্যবসাগুলি CI/CD পাইপলাইনের মধ্যে তাদের ডেটা সুরক্ষা বাড়াতে পারে, সুরক্ষিত সফ্টওয়্যার সরবরাহ করতে পারে এবং সম্পূর্ণ সফ্টওয়্যার সরবরাহ চেইনকে শক্তিশালী করতে অবদান রাখতে পারে। এপ্রিল 2023 পর্যন্ত 60,000 এর বেশি ব্যবহারকারীর সাথে, AppMaster প্ল্যাটফর্ম দক্ষতার সাথে বিভিন্ন আকারের বিভিন্ন ব্যবসার জন্য একটি সুরক্ষা সক্ষমকারী হিসাবে কাজ করতে পারে, যা NIST এর খসড়া নথি প্রকাশের প্রেক্ষাপটে বিশেষভাবে প্রাসঙ্গিক।

২৩ সেপ, ২০২৪

9 min

FFDC 2024 Wrap-Up: NYC-তে FlutterFlow ডেভেলপারস কনফারেন্সের মূল অন্তর্দৃষ্টি

FFDC 2024 নিউ ইয়র্ক সিটিকে আলোকিত করেছে, ফ্লুটারফ্লো-এর মাধ্যমে ডেভেলপারদের অ্যাপ ডেভেলপমেন্টে অত্যাধুনিক অন্তর্দৃষ্টি এনেছে। বিশেষজ্ঞ-নেতৃত্বাধীন সেশন, একচেটিয়া আপডেট, এবং অতুলনীয় নেটওয়ার্কিং সহ, এটি এমন একটি ইভেন্ট ছিল যা মিস করা যাবে না!

সম্পর্কিত খবর