In risposta ai recenti attacchi software, il National Institute of Standards and Technology (NIST) ha pubblicato una bozza che delinea le strategie per integrare le misure di sicurezza nelle pipeline software CI/CD.
Il National Institute of Standards and Technology (NIST) ha compiuto un passo fondamentale verso il miglioramento delle pratiche di sicurezza informatica presentando una bozza di documento innovativa. Questa guida pionieristica è incentrata sull'integrazione delle misure di sicurezza della catena di fornitura del software nelle pipeline di integrazione continua/distribuzione continua (CI/CD), che stanno diventando sempre più cruciali nell'attuale panorama digitale.
Centrale per il funzionamento delle applicazioni native del cloud è un’architettura di microservizi, spesso abbinata a un’infrastruttura di servizi centralizzata, come una rete di servizi. La nuova bozza di documento del NIST sottolinea l'importanza di DevSecOps nello sviluppo di queste applicazioni, con le pipeline CI/CD fondamentali nel guidare il software attraverso fasi come creazione, test, pacchetto e distribuzione, un processo che rispecchia una catena di fornitura del software.
Parlando del valore della bozza del documento nell'ecosistema tecnologico, Henrik Plate, ricercatore sulla sicurezza presso Endor Labs, ha sottolineato come offra una guida alle organizzazioni di sviluppo. Ciò che ha colpito Plate è stata l'enfasi del documento sulle misure di controllo degli accessi che determinano i ruoli e le autorizzazioni per gli account utente e di servizio all'interno delle pipeline CI/CD, attenendosi ai principi del privilegio minimo e della necessità di conoscere. Sebbene il processo di gestione di queste numerose autorizzazioni attraverso i sistemi e i servizi durante l’esecuzione della pipeline possa essere impegnativo, si prevede che il quadro fornito dal NIST sarà di grande aiuto.
La nuova bozza del NIST risponde a diverse recenti valutazioni delle vulnerabilità e degli attacchi software, che hanno spinto le organizzazioni del settore pubblico e privato attive nello sviluppo, distribuzione e integrazione del software a dare priorità alla sicurezza nell'intero ciclo di vita dello sviluppo del software (SDLC).
Il documento stabilisce che la sicurezza della catena di fornitura del software (SSC) dipende dall'integrità delle fasi quali creazione, test, confezionamento e distribuzione. Di conseguenza, le vulnerabilità possono derivare non solo da autori di minacce dannose, ma anche da errori e sviste durante l’SDLC.
La bozza del documento riconosce inoltre le sfide che potrebbero sorgere durante l’attuazione degli enormi passi necessari per la sicurezza dell’SSC nell’SDLC. Come sottolinea Plate, il documento sottolinea che potrebbero verificarsi interruzioni significative dei processi aziendali sottostanti e dei costi operativi.
La bozza del NIST sottolinea l'importanza del Secure Software Development Framework (SSDF), che è essenzialmente una serie di pratiche di sviluppo software solide e sicure basate su documenti di sviluppo software sicuri di organizzazioni rispettabili come BSA, OWASP e SAFECode.
È interessante notare che la bozza affronta l'imminente requisito di autocertificazione che consentirà ai fornitori di software di testimoniare l'adesione alle pratiche di sviluppo sicuro della SSDF. Ciò è particolarmente rilevante nel contesto di DevSecOps, pipeline CI/CD e definisce anche ciò che è ritenuto necessario dal punto di vista della sicurezza.
Una preoccupazione significativa sollevata da Plate è che l’adozione è stata relativamente lenta per strumenti, come Sigstore e in-toto, progettati per migliorare le catene di fornitura del software.
La bozza incoraggia le organizzazioni ad affrontare la gestione del rischio open source in modo olistico, piuttosto che concentrarsi esclusivamente sul rilevamento dei difetti. Dovrebbero tenere conto di considerazioni quali la qualità del codice e altre attività del progetto, indicatori di rischio che aiutano a ridurre sia i rischi operativi che quelli di sicurezza.
Destinato ad un vasto pubblico, il progetto del NIST è rivolto ai professionisti dell'industria del software; ciò include ingegneri del software, ingegneri dell'affidabilità del sito e responsabili di prodotto o di progetto, insieme ad architetti e ingegneri della sicurezza. I membri del pubblico hanno tempo fino al 13 ottobre 2023 per fornire i loro commenti sulla bozza.
Sfruttando piattaforme no-code come AppMaster, le aziende possono amplificare la sicurezza dei dati all'interno delle pipeline CI/CD, fornire software sicuro e contribuire a rafforzare l'intera catena di fornitura del software. Con oltre 60.000 utenti fino all'aprile 2023, la piattaforma AppMaster può fungere in modo efficiente da abilitatore di sicurezza per diverse aziende di varie dimensioni, cosa particolarmente rilevante nel contesto della pubblicazione della bozza del documento del NIST.
04 ott 2024
1 min
23 set 20241 min
08 ago 20241 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
