O National Institute of Standards and Technology (NIST) deu um passo crítico no sentido de melhorar as práticas de segurança cibernética ao revelar um documento preliminar inovador. Este guia pioneiro está centrado na integração de salvaguardas de segurança da cadeia de fornecimento de software em pipelines de Integração Contínua/Implantação Contínua (CI/CD), que estão se tornando cada vez mais cruciais no cenário digital atual.
Central para a operação de aplicativos nativos da nuvem é uma arquitetura de microsserviços, muitas vezes combinada com uma infraestrutura de serviço centralizada, como uma malha de serviço. O novo documento preliminar do NIST ressalta a importância do DevSecOps no desenvolvimento dessas aplicações, com pipelines de CI/CD sendo fundamentais para orientar o software através de estágios como construção, teste, pacote e implantação, um processo que reflete uma cadeia de fornecimento de software.
Falando sobre o valor do documento preliminar no ecossistema tecnológico, o pesquisador de segurança do Endor Labs, Henrik Plate, destacou como ele oferece uma orientação para organizações de desenvolvimento. O que se destacou para Plate foi a ênfase do documento em medidas de controle de acesso que determinam as funções e autorizações para contas de usuários e serviços em pipelines de CI/CD, aderindo aos princípios de menor privilégio e necessidade de conhecimento. Embora o processo de gestão destas numerosas autorizações nos sistemas e serviços durante a execução do pipeline possa ser desafiador, espera-se que a estrutura fornecida pelo NIST seja de grande ajuda.
O novo rascunho do NIST responde a várias avaliações recentes de vulnerabilidades e ataques de software, que levaram organizações do setor público e privado ativas no desenvolvimento, implantação e integração de software a priorizar a segurança em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC).
O documento estabelece que a segurança da Cadeia de Fornecimento de Software (SSC) depende da integridade de estágios como construção, teste, pacote e implantação. Como resultado, as vulnerabilidades podem surgir não apenas de agentes de ameaças mal-intencionados, mas também de lapsos e omissões durante o SDLC.
O projecto de documento também reconhece os desafios que podem surgir durante a implementação dos enormes passos necessários para a segurança do SSC no SDLC. Como salienta Plate, o documento sublinha que poderá haver perturbações significativas nos processos empresariais subjacentes e nos custos operacionais.
O rascunho do NIST ressalta a importância do Secure Software Development Framework (SSDF), que é essencialmente uma série de práticas de desenvolvimento de software sólidas e seguras baseadas em documentos de desenvolvimento de software seguro de organizações respeitáveis como BSA, OWASP e SAFECode.
Curiosamente, o rascunho aborda o próximo requisito de autocertificação que fará com que os fornecedores de software testemunhem a adesão às práticas de desenvolvimento seguro do SSDF. Isto é particularmente relevante no contexto de DevSecOps, pipelines de CI/CD e também define o que é considerado necessário em termos de segurança.
Uma preocupação significativa levantada pela Plate é que a adoção tem sido relativamente lenta para ferramentas, como Sigstore e in-toto, que são projetadas para melhorar as cadeias de fornecimento de software.
O rascunho incentiva as organizações a abordarem o gerenciamento de riscos de código aberto de forma holística, em vez de se concentrarem apenas na detecção de defeitos. Devem ter em conta considerações como a qualidade do código e outras atividades do projeto, indicadores de risco que ajudam a reduzir os riscos operacionais e de segurança.
Voltado para um público amplo, o rascunho do NIST destina-se a profissionais da indústria de software; isso inclui engenheiros de software, engenheiros de confiabilidade de sites e gerentes de produtos ou projetos, além de arquitetos e engenheiros de segurança. O público tem até 13 de outubro de 2023 para comentar a minuta.
Ao aproveitar plataformas no-code como AppMaster, as empresas podem ampliar a segurança de seus dados em pipelines de CI/CD, fornecer software seguro e contribuir para fortalecer toda a cadeia de fornecimento de software. Com mais de 60.000 usuários até abril de 2023, a plataforma AppMaster pode servir eficientemente como um facilitador de segurança para diferentes empresas de diversos tamanhos, algo particularmente relevante no contexto da publicação do documento preliminar do NIST.
