CI/CD পাইপলাইন সংশোধন করা: NIST সফ্টওয়্যার সাপ্লাই চেইন নিরাপত্তা জোরদার করার জন্য খসড়া ফ্রেমওয়ার্ক উন্মোচন করে

National Institute of Standards and Technology (NIST) একটি যুগান্তকারী খসড়া নথি উন্মোচনের মাধ্যমে সাইবার নিরাপত্তা অনুশীলন বাড়ানোর দিকে একটি গুরুত্বপূর্ণ পদক্ষেপ নিয়েছে। এই ট্রেলব্লাজিং গাইডটি সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষা সুরক্ষাগুলির একীকরণের উপর কেন্দ্রীভূত হয়েছে ক্রমাগত ইন্টিগ্রেশন / কন্টিনিউয়াস ডিপ্লোয়মেন্ট (CI/CD) পাইপলাইনে, যা বর্তমান ডিজিটাল ল্যান্ডস্কেপে ক্রমশ গুরুত্বপূর্ণ হয়ে উঠছে।

ক্লাউড-নেটিভ অ্যাপ্লিকেশানগুলির ক্রিয়াকলাপের কেন্দ্রবিন্দু হল একটি মাইক্রোসার্ভিসেস আর্কিটেকচার, যা প্রায়শই একটি পরিষেবা জালের মতো কেন্দ্রীভূত পরিষেবা পরিকাঠামোর সাথে যুক্ত থাকে। NIST এর নতুন খসড়া নথি এই অ্যাপ্লিকেশনগুলির বিকাশে DevSecOps-এর গুরুত্বের ওপর জোর দেয়, যার মধ্যে CI/CD পাইপলাইনগুলি স্টিয়ারিং সফ্টওয়্যার নির্মাণ, পরীক্ষা, প্যাকেজ এবং স্থাপনার মতো ধাপগুলির মাধ্যমে প্রধান ভূমিকা পালন করে, একটি প্রক্রিয়া যা একটি সফ্টওয়্যার সরবরাহ শৃঙ্খলকে প্রতিফলিত করে৷

টেক ইকোসিস্টেমের খসড়া নথির মূল্য সম্পর্কে কথা বলতে গিয়ে, এন্ডোর ল্যাবসের নিরাপত্তা গবেষক, হেনরিক প্লেট, হাইলাইট করেছেন যে এটি কীভাবে উন্নয়ন সংস্থাগুলির জন্য একটি গাইড হাত অফার করে। প্লেটের জন্য যা দাঁড়িয়েছিল তা হল নথির অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থার উপর জোর দেওয়া যা CI/CD পাইপলাইনের মধ্যে ব্যবহারকারী এবং পরিষেবা অ্যাকাউন্টগুলির জন্য ভূমিকা এবং অনুমোদন নির্ধারণ করে, ন্যূনতম-সুবিধা এবং জানা-জানার নীতিগুলির সাথে লেগে থাকা। পাইপলাইন নির্বাহের সময় সিস্টেম এবং পরিষেবা জুড়ে এই অসংখ্য অনুমোদন পরিচালনার প্রক্রিয়াটি চ্যালেঞ্জিং হতে পারে, NIST দ্বারা প্রদত্ত কাঠামোটি দুর্দান্ত সহায়ক হবে বলে আশা করা হচ্ছে।

NIST এর নতুন খসড়াটি সফ্টওয়্যার দুর্বলতা এবং আক্রমণের বেশ কয়েকটি সাম্প্রতিক মূল্যায়নের প্রতিক্রিয়া জানায়, যা সফ্টওয়্যার উন্নয়ন, স্থাপনা এবং একীকরণে সক্রিয় সরকারী এবং বেসরকারী উভয় সংস্থাকে সমগ্র সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) জুড়ে নিরাপত্তাকে অগ্রাধিকার দিতে উদ্বুদ্ধ করেছে।

নথিতে উল্লেখ করা হয়েছে যে সফ্টওয়্যার সাপ্লাই চেইন (SSC) এর নিরাপত্তা বিল্ড, টেস্ট, প্যাকেজ এবং ডিপ্লয়য়ের মতো পর্যায়গুলির অখণ্ডতার উপর নির্ভরশীল। ফলস্বরূপ, দুর্বলতাগুলি শুধুমাত্র দূষিত হুমকি অভিনেতাদের থেকে নয় বরং SDLC চলাকালীন ত্রুটি এবং তদারকি থেকেও উদ্ভূত হতে পারে।

খসড়া নথিটি SDLC-তে SSC সুরক্ষার জন্য প্রয়োজনীয় বিশাল পদক্ষেপগুলি বাস্তবায়ন করার সময় যে চ্যালেঞ্জগুলি দেখা দিতে পারে সেগুলিকেও স্বীকার করে। প্লেট নির্দেশ করে, নথিটি জোর দেয় যে অন্তর্নিহিত ব্যবসায়িক প্রক্রিয়া এবং অপারেশনাল খরচগুলিতে উল্লেখযোগ্য ব্যাঘাত ঘটতে পারে।

NIST এর খসড়া Secure Software Development Framework (SSDF) এর গুরুত্বের ওপর জোর দেয়, যা মূলত BSA, OWASP, এবং SAFECode-এর মতো স্বনামধন্য প্রতিষ্ঠানের সুরক্ষিত সফ্টওয়্যার ডেভেলপমেন্ট নথির উপর ভিত্তি করে কঠিন, সুরক্ষিত সফ্টওয়্যার উন্নয়ন অনুশীলনের একটি সিরিজ।

মজার বিষয় হল, খসড়াটি আসন্ন স্ব-প্রত্যয়ন প্রয়োজনীয়তাকে সম্বোধন করে যাতে সফ্টওয়্যার প্রদানকারীরা SSDF এর নিরাপদ উন্নয়ন অনুশীলনের আনুগত্যের সাক্ষ্য দেয়। এটি বিশেষ করে DevSecOps, CI/CD পাইপলাইনের প্রেক্ষাপটে প্রাসঙ্গিক এবং এটিও সংজ্ঞায়িত করে যে নিরাপত্তা-ভিত্তিক প্রয়োজনীয় বলে মনে করা হয়।

প্লেটের দ্বারা উত্থাপিত একটি উল্লেখযোগ্য উদ্বেগ হল যে সফ্টওয়্যার সরবরাহ চেইনগুলিকে উন্নত করার জন্য ডিজাইন করা সিগস্টোর এবং ইন-টোটোর মতো সরঞ্জামগুলির জন্য দত্তক নেওয়া তুলনামূলকভাবে মন্থর।

খসড়াটি শুধুমাত্র ত্রুটি সনাক্তকরণের উপর ফোকাস না করে, ওপেন সোর্স ঝুঁকি ব্যবস্থাপনাকে সামগ্রিকভাবে যোগাযোগ করতে উত্সাহিত করে। তাদের বিবেচনায় নেওয়া উচিত যেমন কোডের গুণমান, এবং অন্যান্য প্রকল্পের কার্যকলাপ, ঝুঁকি সূচক যা নিরাপত্তা এবং অপারেশনাল উভয় ঝুঁকি কমাতে সাহায্য করে।

বিস্তৃত শ্রোতার দিকে দৃষ্টি নিবদ্ধ করে, NIST এর খসড়াটি সফ্টওয়্যার শিল্পের অনুশীলনকারীদের লক্ষ্য করে; এর মধ্যে রয়েছে সফ্টওয়্যার প্রকৌশলী, সাইট নির্ভরযোগ্যতা প্রকৌশলী এবং পণ্য বা প্রকল্প পরিচালক, নিরাপত্তা স্থপতি এবং প্রকৌশলী সহ। জনসাধারণের সদস্যদের খসড়াটিতে তাদের মন্তব্য প্রদানের জন্য 13 অক্টোবর, 2023 পর্যন্ত সময় আছে।

AppMaster মতো no-code প্ল্যাটফর্মগুলিকে কাজে লাগানোর মাধ্যমে, ব্যবসাগুলি CI/CD পাইপলাইনের মধ্যে তাদের ডেটা সুরক্ষা বাড়াতে পারে, সুরক্ষিত সফ্টওয়্যার সরবরাহ করতে পারে এবং সম্পূর্ণ সফ্টওয়্যার সরবরাহ চেইনকে শক্তিশালী করতে অবদান রাখতে পারে। এপ্রিল 2023 পর্যন্ত 60,000 এর বেশি ব্যবহারকারীর সাথে, AppMaster প্ল্যাটফর্ম দক্ষতার সাথে বিভিন্ন আকারের বিভিন্ন ব্যবসার জন্য একটি সুরক্ষা সক্ষমকারী হিসাবে কাজ করতে পারে, যা NIST এর খসড়া নথি প্রকাশের প্রেক্ষাপটে বিশেষভাবে প্রাসঙ্গিক।