सीआई/सीडी पाइपलाइनों को संशोधित करना: एनआईएसटी ने सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा को मजबूत करने के लिए ड्राफ्ट फ्रेमवर्क का अनावरण किया

National Institute of Standards and Technology (NIST) एक अभूतपूर्व मसौदा दस्तावेज़ का अनावरण करके साइबर सुरक्षा प्रथाओं को बढ़ाने की दिशा में एक महत्वपूर्ण कदम उठाया है। यह अग्रणी मार्गदर्शिका सतत एकीकरण/निरंतर तैनाती (सीआई/सीडी) पाइपलाइनों में सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा सुरक्षा उपायों के एकीकरण पर केंद्रित है, जो वर्तमान डिजिटल परिदृश्य में तेजी से महत्वपूर्ण होती जा रही है।

क्लाउड-नेटिव अनुप्रयोगों के संचालन का केंद्र एक माइक्रोसर्विसेज आर्किटेक्चर है, जिसे अक्सर एक केंद्रीकृत सेवा बुनियादी ढांचे, जैसे सर्विस जाल के साथ जोड़ा जाता है। NIST का नया मसौदा दस्तावेज इन अनुप्रयोगों के विकास में DevSecOps के महत्व को रेखांकित करता है, जिसमें सीआई/सीडी पाइपलाइन निर्माण, परीक्षण, पैकेज और तैनाती जैसे चरणों के माध्यम से स्टीयरिंग सॉफ्टवेयर में महत्वपूर्ण होती है, जो एक सॉफ्टवेयर आपूर्ति श्रृंखला को प्रतिबिंबित करने वाली प्रक्रिया है।

तकनीकी पारिस्थितिकी तंत्र में मसौदा दस्तावेज़ के मूल्य पर बोलते हुए, एंडोर लैब्स के सुरक्षा शोधकर्ता, हेनरिक प्लेट ने इस बात पर प्रकाश डाला कि यह कैसे विकास संगठनों को मार्गदर्शक हाथ प्रदान करता है। प्लेट के लिए सबसे खास बात यह थी कि दस्तावेज़ में सीआई/सीडी पाइपलाइनों के भीतर उपयोगकर्ता और सेवा खातों के लिए भूमिकाओं और प्राधिकरणों को निर्धारित करने वाले पहुंच नियंत्रण उपायों पर जोर दिया गया था, जो कम से कम विशेषाधिकार और जानने की आवश्यकता के सिद्धांतों पर कायम था। हालांकि पाइपलाइन निष्पादन के दौरान सिस्टम और सेवाओं में इन असंख्य प्राधिकरणों को प्रबंधित करने की प्रक्रिया चुनौतीपूर्ण हो सकती है, लेकिन NIST द्वारा प्रदान की गई रूपरेखा से काफी मदद मिलने की उम्मीद है।

NIST का नया मसौदा सॉफ्टवेयर कमजोरियों और हमलों के कई हालिया मूल्यांकनों का जवाब देता है, जिसने सॉफ्टवेयर विकास, तैनाती और एकीकरण में सक्रिय सार्वजनिक और निजी क्षेत्र के संगठनों को संपूर्ण सॉफ्टवेयर विकास जीवनचक्र (एसडीएलसी) में सुरक्षा को प्राथमिकता देने के लिए प्रेरित किया है।

दस्तावेज़ बताता है कि सॉफ़्टवेयर आपूर्ति श्रृंखला (एसएससी) की सुरक्षा निर्माण, परीक्षण, पैकेज और तैनाती जैसे चरणों की अखंडता पर निर्भर है। परिणामस्वरूप, कमजोरियाँ न केवल दुर्भावनापूर्ण खतरे वाले अभिनेताओं से उत्पन्न हो सकती हैं, बल्कि एसडीएलसी के दौरान चूक और निरीक्षण से भी उत्पन्न हो सकती हैं।

मसौदा दस्तावेज़ उन चुनौतियों को भी स्वीकार करता है जो एसडीएलसी में एसएससी सुरक्षा के लिए आवश्यक बड़े कदमों को लागू करते समय उत्पन्न हो सकती हैं। जैसा कि प्लेट बताती है, दस्तावेज़ इस बात पर जोर देता है कि अंतर्निहित व्यावसायिक प्रक्रियाओं और परिचालन लागत में महत्वपूर्ण व्यवधान हो सकता है।

NIST का मसौदा Secure Software Development Framework (SSDF) के महत्व को रेखांकित करता है, जो अनिवार्य रूप से बीएसए, ओडब्ल्यूएएसपी और सेफकोड जैसे प्रतिष्ठित संगठनों के सुरक्षित सॉफ्टवेयर विकास दस्तावेजों पर आधारित ठोस, सुरक्षित सॉफ्टवेयर विकास प्रथाओं की एक श्रृंखला है।

दिलचस्प बात यह है कि मसौदा आगामी स्व-सत्यापन आवश्यकता को संबोधित करता है जिसमें सॉफ्टवेयर प्रदाताओं को एसएसडीएफ की सुरक्षित विकास प्रथाओं के पालन की गवाही देनी होगी। यह विशेष रूप से DevSecOps, CI/CD पाइपलाइनों के संदर्भ में प्रासंगिक है और यह भी परिभाषित करता है कि सुरक्षा के लिहाज से क्या आवश्यक समझा जाता है।

प्लेट द्वारा उठाई गई एक महत्वपूर्ण चिंता यह है कि सिगस्टोर और इन-टोटो जैसे उपकरणों को अपनाना अपेक्षाकृत धीमा रहा है, जो सॉफ्टवेयर आपूर्ति श्रृंखलाओं को बढ़ाने के लिए डिज़ाइन किए गए हैं।

मसौदा संगठनों को केवल दोष का पता लगाने पर ध्यान केंद्रित करने के बजाय ओपन-सोर्स जोखिम प्रबंधन को समग्र रूप से अपनाने के लिए प्रोत्साहित करता है। उन्हें कोड गुणवत्ता, और अन्य परियोजना गतिविधि, जोखिम संकेतक जैसे विचारों को ध्यान में रखना चाहिए जो सुरक्षा और परिचालन जोखिम दोनों को कम करने में मदद करते हैं।

व्यापक दर्शकों पर केंद्रित, NIST का मसौदा सॉफ्टवेयर उद्योग के पेशेवरों पर लक्षित है; इसमें सुरक्षा आर्किटेक्ट और इंजीनियरों के साथ सॉफ्टवेयर इंजीनियर, साइट विश्वसनीयता इंजीनियर और उत्पाद या परियोजना प्रबंधक शामिल हैं। जनता के सदस्यों के पास मसौदे पर अपनी टिप्पणियाँ देने के लिए 13 अक्टूबर, 2023 तक का समय है।

AppMaster जैसे no-code प्लेटफ़ॉर्म का लाभ उठाकर, व्यवसाय सीआई/सीडी पाइपलाइनों के भीतर अपनी डेटा सुरक्षा बढ़ा सकते हैं, सुरक्षित सॉफ़्टवेयर वितरित कर सकते हैं और संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला को मजबूत करने में योगदान कर सकते हैं। अप्रैल 2023 तक 60,000 से अधिक उपयोगकर्ताओं के साथ, AppMaster प्लेटफ़ॉर्म विभिन्न आकारों के विभिन्न व्यवसायों के लिए एक सुरक्षा प्रवर्तक के रूप में कुशलतापूर्वक काम कर सकता है, जो विशेष रूप से NIST के मसौदा दस्तावेज़ के प्रकाशन के संदर्भ में प्रासंगिक है।