Het National Institute of Standards and Technology (NIST) heeft een cruciale stap gezet in de richting van het verbeteren van cyberbeveiligingspraktijken door een baanbrekend conceptdocument te onthullen. Deze baanbrekende gids is gericht op de integratie van beveiligingswaarborgen voor de toeleveringsketen van software in Continuous Integration / Continuous Deployment (CI/CD) pipelines, die steeds belangrijker worden in het huidige digitale landschap.
Centraal in de werking van cloud-native applicaties staat een microservices-architectuur, vaak gecombineerd met een gecentraliseerde service-infrastructuur, zoals een service mesh. Het nieuwe conceptdocument van NIST onderstreept het belang van DevSecOps bij de ontwikkeling van deze applicaties, waarbij CI/CD-pijplijnen cruciaal zijn bij het sturen van software door fasen als bouwen, testen, verpakken en implementeren, een proces dat een weerspiegeling is van een software-toeleveringsketen.
Beveiligingsonderzoeker bij Endor Labs, Henrik Plate, sprak over de waarde van het conceptdocument in het technologie-ecosysteem en benadrukte hoe het een leidende hand biedt aan ontwikkelingsorganisaties. Wat Plate opviel was de nadruk in het document op toegangscontrolemaatregelen die de rollen en autorisaties bepalen voor gebruikers- en serviceaccounts binnen CI/CD-pijplijnen, waarbij werd vastgehouden aan de principes van de minste privileges en de noodzaak om te weten. Hoewel het proces van het beheren van deze talrijke autorisaties voor de systemen en diensten tijdens de uitvoering van pijpleidingen een uitdaging kan zijn, wordt verwacht dat het door NIST geboden raamwerk een grote hulp zal zijn.
Het nieuwe ontwerp van NIST is een reactie op verschillende recente evaluaties van softwarekwetsbaarheden en -aanvallen, die zowel organisaties uit de publieke als de private sector die actief zijn in de ontwikkeling, implementatie en integratie van software ertoe hebben aangezet prioriteit te geven aan beveiliging gedurende de gehele Software Development Lifecycle (SDLC).
Het document legt uit dat de veiligheid van de Software Supply Chain (SSC) afhankelijk is van de integriteit van fasen zoals bouwen, testen, verpakken en implementeren. Als gevolg hiervan kunnen kwetsbaarheden niet alleen voortkomen uit kwaadaardige dreigingsactoren, maar ook uit fouten en toezicht tijdens de SDLC.
Het conceptdocument erkent ook de uitdagingen die zich kunnen voordoen bij het implementeren van de enorme stappen die nodig zijn voor SSC-beveiliging in de SDLC. Zoals Plate opmerkt, benadrukt het document dat er een aanzienlijke verstoring van de onderliggende bedrijfsprocessen en operationele kosten kan optreden.
Het ontwerp van de NIST onderstreept het belang van het Secure Software Development Framework (SSDF), dat in wezen een reeks solide, veilige softwareontwikkelingspraktijken is, gebaseerd op veilige softwareontwikkelingsdocumenten van gerenommeerde organisaties als BSA, OWASP en SAFECode.
Interessant is dat het ontwerp ingaat op de komende zelfattesteringsvereiste, waarbij softwareleveranciers moeten getuigen dat ze zich houden aan de veilige ontwikkelingspraktijken van de SSDF. Dit is met name relevant in de context van DevSecOps en CI/CD-pijplijnen en definieert ook wat op veiligheidsgebied noodzakelijk wordt geacht.
Een belangrijk punt van zorg van Plate is dat de adoptie relatief traag verloopt voor tools als Sigstore en in-toto, die zijn ontworpen om de toeleveringsketens van software te verbeteren.
Het ontwerp moedigt organisaties aan om open-source risicobeheer holistisch te benaderen, in plaats van zich uitsluitend te concentreren op het opsporen van defecten. Ze moeten rekening houden met overwegingen zoals de kwaliteit van de code en andere projectactiviteiten, risico-indicatoren die zowel de veiligheids- als de operationele risico's helpen verminderen.
Het ontwerp van NIST is gericht op een breed publiek en is gericht op praktijkmensen in de software-industrie; dit omvat software-ingenieurs, site-betrouwbaarheidsingenieurs en product- of projectmanagers, samen met beveiligingsarchitecten en -ingenieurs. Het publiek heeft tot 13 oktober 2023 de tijd om commentaar te geven op het ontwerp.
Door gebruik te maken van no-code platforms zoals AppMaster kunnen bedrijven hun gegevensbeveiliging binnen CI/CD-pijplijnen vergroten, veilige software leveren en bijdragen aan het versterken van de gehele software-toeleveringsketen. Met tot april 2023 ruim 60.000 gebruikers kan AppMaster platform op efficiënte wijze dienen als beveiligingsmechanisme voor verschillende bedrijven van verschillende groottes, iets wat bijzonder relevant is in de context van de publicatie van het conceptdocument van NIST.
