Merevisi Saluran CI/CD: NIST Meluncurkan Draf Kerangka Kerja Untuk Meningkatkan Keamanan Rantai Pasokan Perangkat Lunak

National Institute of Standards and Technology (NIST) telah mengambil langkah penting dalam meningkatkan praktik keamanan siber dengan meluncurkan rancangan dokumen yang inovatif. Panduan terobosan ini berpusat pada integrasi perlindungan keamanan rantai pasokan perangkat lunak ke dalam pipeline Continuous Integration / Continuous Deployment (CI/CD), yang menjadi semakin penting dalam lanskap digital saat ini.

Inti dari pengoperasian aplikasi cloud-native adalah arsitektur layanan mikro, yang sering kali dipasangkan dengan infrastruktur layanan terpusat, seperti mesh layanan. Draf dokumen baru yang dibuat oleh NIST menggarisbawahi pentingnya DevSecOps dalam pengembangan aplikasi-aplikasi ini, dengan pipeline CI/CD yang sangat penting dalam mengarahkan perangkat lunak melalui tahapan seperti pembuatan, pengujian, pengemasan, dan penerapan, sebuah proses yang mencerminkan rantai pasokan perangkat lunak.

Berbicara tentang nilai rancangan dokumen dalam ekosistem teknologi, Peneliti Keamanan di Endor Labs, Henrik Plate, menyoroti bagaimana dokumen ini dapat memberikan panduan bagi organisasi pembangunan. Hal yang menonjol bagi Plate adalah penekanan dokumen tersebut pada langkah-langkah kontrol akses yang menentukan peran dan otorisasi bagi akun pengguna dan layanan dalam saluran CI/CD, dengan tetap berpegang pada prinsip hak istimewa paling sedikit dan perlu diketahui. Meskipun proses pengelolaan berbagai otorisasi di seluruh sistem dan layanan selama eksekusi pipeline mungkin menantang, kerangka kerja yang disediakan oleh NIST diharapkan dapat sangat membantu.

Draf baru NIST menanggapi beberapa evaluasi terkini mengenai kerentanan dan serangan perangkat lunak, yang telah mendorong organisasi sektor publik dan swasta aktif dalam pengembangan, penerapan, dan integrasi perangkat lunak untuk memprioritaskan keamanan di seluruh Siklus Hidup Pengembangan Perangkat Lunak (SDLC).

Dokumen tersebut menjelaskan bahwa keamanan Rantai Pasokan Perangkat Lunak (SSC) bergantung pada integritas tahapan seperti pembuatan, pengujian, pengemasan, dan penerapan. Akibatnya, kerentanan dapat muncul tidak hanya dari pelaku ancaman jahat tetapi juga dari kesalahan dan pengawasan selama SDLC.

Draf dokumen tersebut juga mengakui tantangan yang mungkin timbul saat menerapkan langkah-langkah besar yang diperlukan untuk keamanan SSC di SDLC. Seperti yang disampaikan oleh Plate, dokumen tersebut menekankan bahwa mungkin terdapat gangguan signifikan terhadap proses bisnis dan biaya operasional.

Draf NIST menggarisbawahi pentingnya Secure Software Development Framework (SSDF), yang pada dasarnya adalah serangkaian praktik pengembangan perangkat lunak yang solid dan aman berdasarkan dokumen pengembangan perangkat lunak yang aman dari organisasi terkemuka seperti BSA, OWASP, dan SAFECode.

Menariknya, rancangan tersebut membahas persyaratan pengesahan mandiri yang akan membuat penyedia perangkat lunak memberikan kesaksian kepatuhan terhadap praktik pengembangan aman SSDF. Hal ini sangat relevan dalam konteks DevSecOps, pipeline CI/CD dan juga mendefinisikan apa yang dianggap perlu dari segi keamanan.

Salah satu kekhawatiran signifikan yang diangkat oleh Plate adalah penerapan alat, seperti Sigstore dan in-toto, yang dirancang untuk meningkatkan rantai pasokan perangkat lunak, relatif lamban.

Draf tersebut mendorong organisasi untuk melakukan pendekatan manajemen risiko sumber terbuka secara holistik, daripada hanya berfokus pada deteksi cacat. Mereka harus mempertimbangkan pertimbangan seperti kualitas kode, dan aktivitas proyek lainnya, indikator risiko yang membantu mengurangi risiko keamanan dan operasional.

Berfokus pada khalayak luas, rancangan NIST ditujukan untuk para praktisi di industri perangkat lunak; ini termasuk insinyur perangkat lunak, insinyur keandalan situs, dan manajer produk atau proyek, serta arsitek dan insinyur keamanan. Masyarakat mempunyai waktu hingga 13 Oktober 2023 untuk memberikan komentarnya terhadap draf tersebut.

Dengan memanfaatkan platform no-code seperti AppMaster, bisnis dapat memperkuat keamanan data mereka dalam saluran CI/CD, menghadirkan perangkat lunak yang aman, dan berkontribusi untuk memperkuat seluruh rantai pasokan perangkat lunak. Dengan lebih dari 60.000 pengguna hingga April 2023, platform AppMaster dapat secara efisien berfungsi sebagai pendukung keamanan untuk berbagai bisnis dengan berbagai ukuran, sesuatu yang sangat relevan dalam konteks publikasi rancangan dokumen NIST.