Przegląd potoków CI/CD: NIST przedstawia projekt ram mających na celu wzmocnienie bezpieczeństwa łańcucha dostaw oprogramowania

National Institute of Standards and Technology (NIST) podjął kluczowy krok w kierunku udoskonalenia praktyk w zakresie cyberbezpieczeństwa, przedstawiając przełomowy projekt dokumentu. Ten pionierski przewodnik koncentruje się na integracji zabezpieczeń łańcucha dostaw oprogramowania z procesami ciągłej integracji/ciągłego wdrażania (CI/CD), które stają się coraz ważniejsze w obecnym krajobrazie cyfrowym.

Podstawą działania aplikacji natywnych w chmurze jest architektura mikrousług, często połączona ze scentralizowaną infrastrukturą usług, taką jak siatka usług. Nowy projekt dokumentu opracowany przez NIST podkreśla znaczenie DevSecOps w rozwoju tych aplikacji, przy czym potoki CI/CD odgrywają kluczową rolę w sterowaniu oprogramowaniem przez takie etapy, jak kompilacja, testowanie, pakowanie i wdrażanie, co jest procesem odzwierciedlającym łańcuch dostaw oprogramowania.

Mówiąc o wartości projektu dokumentu w ekosystemie technologicznym, badacz ds. bezpieczeństwa w Endor Labs, Henrik Plate, podkreślił, w jaki sposób stanowi on wskazówkę dla organizacji zajmujących się rozwojem. Tym, co wyróżniało Plate, był nacisk w dokumencie położony na środki kontroli dostępu określające role i autoryzacje dla kont użytkowników i usług w ramach procesów CI/CD, przy jednoczesnym przestrzeganiu zasad najniższych uprawnień i ograniczonej wiedzy. Chociaż proces zarządzania licznymi autoryzacjami w systemach i usługach podczas realizacji rurociągu może stanowić wyzwanie, oczekuje się, że ramy dostarczone przez NIST będą bardzo pomocne.

Nowy projekt NIST jest odpowiedzią na kilka niedawnych ocen luk w zabezpieczeniach oprogramowania i ataków, które skłoniły zarówno organizacje sektora publicznego, jak i prywatnego zajmujące się tworzeniem, wdrażaniem i integracją oprogramowania do priorytetowego traktowania bezpieczeństwa w całym cyklu życia oprogramowania (SDLC).

W dokumencie wskazano, że bezpieczeństwo łańcucha dostaw oprogramowania (SSC) zależy od integralności etapów, takich jak kompilacja, testowanie, pakowanie i wdrażanie. W rezultacie luki w zabezpieczeniach mogą wynikać nie tylko ze złośliwych aktorów zagrażających, ale także z uchybień i niedopatrzeń podczas SDLC.

Projekt dokumentu uwzględnia także wyzwania, które mogą się pojawić podczas wdrażania ogromnych kroków niezbędnych do zapewnienia bezpieczeństwa SSC w SDLC. Jak wskazuje Plate, w dokumencie podkreślono, że mogą wystąpić znaczące zakłócenia w podstawowych procesach biznesowych i kosztach operacyjnych.

Projekt NIST podkreśla znaczenie Secure Software Development Framework (SSDF), które zasadniczo stanowią szereg solidnych, bezpiecznych praktyk tworzenia oprogramowania opartych na dokumentach dotyczących bezpiecznego tworzenia oprogramowania od renomowanych organizacji, takich jak BSA, OWASP i SAFECode.

Co ciekawe, projekt uwzględnia nadchodzący wymóg samooceny, w ramach którego dostawcy oprogramowania będą musieli poświadczyć przestrzeganie praktyk bezpiecznego programowania SSDF. Jest to szczególnie istotne w kontekście DevSecOps, potoków CI/CD, a także definiuje, co jest uważane za konieczne ze względów bezpieczeństwa.

Jedną z istotnych obaw podniesionych przez Plate jest to, że wdrażanie narzędzi takich jak Sigstore i intoto, które mają na celu usprawnienie łańcuchów dostaw oprogramowania, jest stosunkowo powolne.

Projekt zachęca organizacje do holistycznego podejścia do zarządzania ryzykiem związanym z oprogramowaniem open source, zamiast skupiać się wyłącznie na wykrywaniu defektów. Powinny brać pod uwagę takie kwestie, jak jakość kodu i inne działania projektowe, wskaźniki ryzyka, które pomagają zmniejszyć zarówno ryzyko bezpieczeństwa, jak i ryzyko operacyjne.

Skoncentrowana na szerokiej publiczności wersja robocza NIST jest skierowana do praktyków w branży oprogramowania; obejmuje to inżynierów oprogramowania, inżynierów niezawodności witryn oraz menedżerów produktów lub projektów, a także architektów i inżynierów bezpieczeństwa. Mieszkańcy mają czas do 13 października 2023 r. na zgłaszanie uwag do projektu.

Wykorzystując platformy no-code takie jak AppMaster, firmy mogą zwiększyć bezpieczeństwo swoich danych w ramach procesów CI/CD, dostarczać bezpieczne oprogramowanie i przyczynić się do wzmocnienia całego łańcucha dostaw oprogramowania. Z ponad 60 000 użytkowników do kwietnia 2023 r., platforma AppMaster może skutecznie służyć jako czynnik zapewniający bezpieczeństwo różnym firmom różnej wielkości, co jest szczególnie istotne w kontekście publikacji projektu dokumentu NIST.