En réponse aux récentes attaques logicielles, le National Institute of Standards and Technology (NIST) a publié un projet décrivant des stratégies pour intégrer des mesures de sécurité dans les pipelines logiciels CI/CD.
Le National Institute of Standards and Technology (NIST) a franchi une étape cruciale vers l’amélioration des pratiques de cybersécurité en dévoilant un projet de document révolutionnaire. Ce guide pionnier est centré sur l'intégration des mesures de sécurité de la chaîne d'approvisionnement logicielle dans les pipelines d'intégration continue/déploiement continu (CI/CD), qui deviennent de plus en plus cruciaux dans le paysage numérique actuel.
Au cœur du fonctionnement des applications cloud natives se trouve une architecture de microservices, souvent associée à une infrastructure de services centralisée, telle qu'un maillage de services. Le nouveau projet de document du NIST souligne l'importance du DevSecOps dans le développement de ces applications, les pipelines CI/CD jouant un rôle essentiel dans le pilotage des logiciels à travers des étapes telles que la construction, le test, le package et le déploiement, un processus reflétant une chaîne d'approvisionnement logicielle.
S'exprimant sur la valeur du projet de document dans l'écosystème technologique, Henrik Plate, chercheur en sécurité chez Endor Labs, a souligné comment il offre un guide aux organisations de développement. Ce qui a marqué Plate était l'accent mis par le document sur les mesures de contrôle d'accès déterminant les rôles et les autorisations pour les comptes d'utilisateurs et de services au sein des pipelines CI/CD, en respectant les principes du moindre privilège et du besoin de connaître. Bien que le processus de gestion de ces nombreuses autorisations à travers les systèmes et services pendant l'exécution du pipeline puisse s'avérer difficile, le cadre fourni par NIST devrait être d'une grande aide.
La nouvelle version du NIST répond à plusieurs évaluations récentes de vulnérabilités et d'attaques logicielles, qui ont incité les organisations des secteurs public et privé actives dans le développement, le déploiement et l'intégration de logiciels à donner la priorité à la sécurité tout au long du cycle de vie du développement logiciel (SDLC).
Le document indique que la sécurité de la chaîne d'approvisionnement logicielle (SSC) dépend de l'intégrité des étapes telles que la construction, le test, le package et le déploiement. En conséquence, les vulnérabilités peuvent provenir non seulement d’acteurs malveillants, mais également de défaillances et de négligences lors du SDLC.
Le projet de document reconnaît également les défis qui peuvent survenir lors de la mise en œuvre des énormes mesures nécessaires à la sécurité de SPC dans le SDLC. Comme le souligne Plate, le document souligne qu'il pourrait y avoir une perturbation importante des processus commerciaux sous-jacents et des coûts opérationnels.
Le projet du NIST souligne l'importance du Secure Software Development Framework (SSDF), qui est essentiellement une série de pratiques de développement de logiciels solides et sécurisées basées sur des documents de développement de logiciels sécurisés provenant d'organisations réputées telles que BSA, OWASP et SAFECode.
Il est intéressant de noter que le projet aborde la prochaine exigence d'auto-attestation qui obligera les fournisseurs de logiciels à témoigner de leur adhésion aux pratiques de développement sécurisé du SSDF. Ceci est particulièrement pertinent dans le contexte des pipelines DevSecOps et CI/CD et définit également ce qui est jugé nécessaire en termes de sécurité.
Une préoccupation importante soulevée par Plate est que l'adoption a été relativement lente pour des outils, comme Sigstore et intoto, conçus pour améliorer les chaînes d'approvisionnement logicielles.
Le projet encourage les organisations à aborder la gestion des risques open source de manière globale, plutôt que de se concentrer uniquement sur la détection des défauts. Ils doivent prendre en compte des considérations telles que la qualité du code et d'autres activités du projet, des indicateurs de risque qui contribuent à réduire à la fois les risques de sécurité et les risques opérationnels.
Axé sur un large public, le projet du NIST s'adresse aux praticiens de l'industrie du logiciel ; cela inclut les ingénieurs logiciels, les ingénieurs en fiabilité des sites et les chefs de produits ou de projets, ainsi que les architectes et ingénieurs de sécurité. Les membres du public ont jusqu’au 13 octobre 2023 pour faire part de leurs commentaires sur le projet.
En tirant parti des plateformes no-code comme AppMaster, les entreprises peuvent amplifier la sécurité de leurs données au sein des pipelines CI/CD, fournir des logiciels sécurisés et contribuer au renforcement de l'ensemble de la chaîne d'approvisionnement logicielle. Avec plus de 60 000 utilisateurs jusqu'en avril 2023, la plateforme AppMaster peut efficacement servir de catalyseur de sécurité pour différentes entreprises de différentes tailles, ce qui est particulièrement pertinent dans le contexte de la publication du projet de document du NIST.
04 oct. 2024
1 min
23 sept. 20241 min
08 août 20242 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
