Als Reaktion auf die jüngsten Softwareangriffe hat das National Institute of Standards and Technology (NIST) einen Entwurf veröffentlicht, der Strategien zur Integration von Sicherheitsmaßnahmen in CI/CD-Software-Pipelines beschreibt.
Das National Institute of Standards and Technology (NIST) hat mit der Veröffentlichung eines bahnbrechenden Dokumententwurfs einen entscheidenden Schritt zur Verbesserung der Cybersicherheitspraktiken unternommen. Dieser bahnbrechende Leitfaden konzentriert sich auf die Integration von Sicherheitsvorkehrungen für die Software-Lieferkette in CI/CD-Pipelines (Continuous Integration/Continuous Deployment), die in der aktuellen digitalen Landschaft immer wichtiger werden.
Im Mittelpunkt des Betriebs cloudnativer Anwendungen steht eine Microservices-Architektur, häufig gepaart mit einer zentralisierten Service-Infrastruktur, beispielsweise einem Service Mesh. Der neue Entwurf des NIST unterstreicht die Bedeutung von DevSecOps bei der Entwicklung dieser Anwendungen, wobei CI/CD-Pipelines eine zentrale Rolle bei der Steuerung von Software durch Phasen wie Build, Test, Paket und Bereitstellung spielen, ein Prozess, der eine Software-Lieferkette widerspiegelt.
Henrik Plate, Sicherheitsforscher bei Endor Labs, sprach über den Wert des Dokumententwurfs im Technologie-Ökosystem und betonte, wie er Entwicklungsorganisationen eine Orientierungshilfe bietet. Was Plate hervorstach, war die Betonung des Dokuments auf Zugriffskontrollmaßnahmen, die die Rollen und Berechtigungen für Benutzer- und Dienstkonten innerhalb von CI/CD-Pipelines bestimmen, wobei die Prinzipien der geringsten Rechte und des Wissensbedarfs eingehalten wurden. Während die Verwaltung dieser zahlreichen Autorisierungen über die Systeme und Dienste hinweg während der Pipeline-Ausführung eine Herausforderung darstellen kann, wird erwartet, dass das von NIST bereitgestellte Framework eine große Hilfe sein wird.
Der neue Entwurf des NIST reagiert auf mehrere aktuelle Bewertungen von Software-Schwachstellen und -Angriffen, die sowohl öffentliche als auch private Organisationen, die in der Softwareentwicklung, -bereitstellung und -integration tätig sind, dazu veranlasst haben, der Sicherheit über den gesamten Software Development Lifecycle (SDLC) hinweg Priorität einzuräumen.
Das Dokument legt dar, dass die Sicherheit der Software Supply Chain (SSC) von der Integrität von Phasen wie Build, Test, Paket und Bereitstellung abhängt. Daher können Schwachstellen nicht nur durch böswillige Bedrohungsakteure entstehen, sondern auch durch Versäumnisse und Versäumnisse während des SDLC.
Der Dokumententwurf erkennt auch die Herausforderungen an, die bei der Umsetzung der enormen Schritte entstehen können, die für die SSC-Sicherheit im SDLC erforderlich sind. Wie Plate betont, wird in dem Dokument betont, dass es zu erheblichen Störungen der zugrunde liegenden Geschäftsprozesse und Betriebskosten kommen könnte.
Der Entwurf des NIST unterstreicht die Bedeutung des Secure Software Development Framework (SSDF), bei dem es sich im Wesentlichen um eine Reihe solider, sicherer Softwareentwicklungspraktiken handelt, die auf sicheren Softwareentwicklungsdokumenten renommierter Organisationen wie BSA, OWASP und SAFECode basieren.
Interessanterweise befasst sich der Entwurf mit der bevorstehenden Selbstbescheinigungsanforderung, nach der Softwareanbieter die Einhaltung der sicheren Entwicklungspraktiken der SSDF bezeugen müssen. Dies ist insbesondere im Zusammenhang mit DevSecOps und CI/CD-Pipelines relevant und definiert auch, was sicherheitstechnisch als notwendig erachtet wird.
Eine wichtige Sorge von Plate besteht darin, dass die Akzeptanz von Tools wie Sigstore und in-toto, die zur Verbesserung von Software-Lieferketten entwickelt wurden, relativ schleppend verläuft.
Der Entwurf ermutigt Organisationen, das Open-Source-Risikomanagement ganzheitlich anzugehen und sich nicht nur auf die Fehlererkennung zu konzentrieren. Sie sollten Überlegungen wie die Codequalität und andere Projektaktivitäten sowie Risikoindikatoren berücksichtigen, die dazu beitragen, sowohl Sicherheits- als auch Betriebsrisiken zu reduzieren.
Der Entwurf des NIST richtet sich an ein breites Publikum und richtet sich an Praktiker in der Softwarebranche. Dazu gehören Software-Ingenieure, Site-Reliability-Ingenieure und Produkt- oder Projektmanager sowie Sicherheitsarchitekten und -ingenieure. Die Öffentlichkeit hat bis zum 13. Oktober 2023 Zeit, ihre Stellungnahme zum Entwurf abzugeben.
Durch den Einsatz von no-code Plattformen wie AppMaster können Unternehmen ihre Datensicherheit in CI/CD-Pipelines erhöhen, sichere Software bereitstellen und zur Stärkung der gesamten Software-Lieferkette beitragen. Mit über 60.000 Benutzern bis April 2023 kann AppMaster Plattform effizient als Sicherheitsfaktor für verschiedene Unternehmen unterschiedlicher Größe dienen, was im Zusammenhang mit der Veröffentlichung des NIST -Entwurfsdokuments besonders relevant ist.
04. Okt. 2024
1 min
23. Sept. 20241 min
08. Aug. 20241 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
