Пересмотр конвейеров CI/CD: NIST представляет проект структуры для повышения безопасности цепочки поставок программного обеспечения

National Institute of Standards and Technology (NIST) предпринял важный шаг на пути к совершенствованию практики кибербезопасности, представив новаторский проект документа. Это новаторское руководство посвящено интеграции мер безопасности цепочки поставок программного обеспечения в конвейеры непрерывной интеграции/непрерывного развертывания (CI/CD), которые становятся все более важными в современном цифровом мире.

Центральное место в работе облачных приложений занимает архитектура микросервисов, часто в сочетании с централизованной сервисной инфраструктурой, такой как сервисная сетка. Новый проект документа NIST подчеркивает важность DevSecOps в разработке этих приложений, при этом конвейеры CI/CD играют решающую роль в прохождении программного обеспечения через такие этапы, как сборка, тестирование, упаковка и развертывание — процесс, отражающий цепочку поставок программного обеспечения.

Говоря о значении проекта документа для технологической экосистемы, исследователь безопасности в Endor Labs Хенрик Плейт подчеркнул, что он предлагает направляющую руку организациям, занимающимся разработкой. Что выделялось для Плейта, так это акцент в документе на мерах контроля доступа, определяющих роли и полномочия для учетных записей пользователей и служб в конвейерах CI/CD, придерживаясь принципов наименьших привилегий и необходимости знать. Хотя процесс управления этими многочисленными авторизациями в системах и сервисах во время выполнения конвейера может быть сложным, ожидается, что структура, предоставленная NIST, окажет большую помощь.

Новый проект NIST является ответом на несколько недавних оценок уязвимостей программного обеспечения и атак, которые побудили организации как государственного, так и частного сектора, занимающиеся разработкой, развертыванием и интеграцией программного обеспечения, уделять приоритетное внимание безопасности на протяжении всего жизненного цикла разработки программного обеспечения (SDLC).

В документе указывается, что безопасность цепочки поставок программного обеспечения (SSC) зависит от целостности таких этапов, как сборка, тестирование, упаковка и развертывание. В результате уязвимости могут возникать не только из-за злоумышленников, но также из-за ошибок и надзора во время SDLC.

В проекте документа также признаются проблемы, которые могут возникнуть при реализации огромных шагов, необходимых для обеспечения безопасности SSC в SDLC. Как отмечает Плейт, в документе подчеркивается, что могут возникнуть значительные нарушения в основных бизнес-процессах и операционных расходах.

Проект NIST подчеркивает важность Secure Software Development Framework (SSDF), которая, по сути, представляет собой серию надежных и безопасных практик разработки программного обеспечения, основанных на документах по безопасной разработке программного обеспечения от авторитетных организаций, таких как BSA, OWASP и SAFECode.

Интересно, что проект касается предстоящего требования самоаттестации, согласно которому поставщики программного обеспечения будут подтверждать соблюдение методов безопасной разработки SSDF. Это особенно актуально в контексте DevSecOps, конвейеров CI/CD, а также определяет, что считается необходимым с точки зрения безопасности.

Одна из серьезных проблем, поднятых Плейтом, заключается в том, что такие инструменты, как Sigstore и in-toto, предназначенные для улучшения цепочек поставок программного обеспечения, внедряются относительно медленно.

Проект призывает организации комплексно подходить к управлению рисками с открытым исходным кодом, а не сосредотачиваться исключительно на обнаружении дефектов. Они должны учитывать такие факторы, как качество кода и другая деятельность по проекту, а также индикаторы риска, которые помогают снизить риски безопасности и эксплуатации.

Ориентированный на широкую аудиторию, проект NIST ориентирован на практиков в индустрии программного обеспечения; сюда входят инженеры-программисты, инженеры по надежности объектов и менеджеры продуктов или проектов, а также архитекторы и инженеры по безопасности. Представители общественности должны до 13 октября 2023 года дать свои комментарии по проекту.

Используя платформы no-code такие как AppMaster, компании могут повысить безопасность своих данных в конвейерах CI/CD, предоставлять безопасное программное обеспечение и способствовать укреплению всей цепочки поставок программного обеспечения. Платформа AppMaster, насчитывающая более 60 000 пользователей до апреля 2023 года, может эффективно служить средством обеспечения безопасности для различных предприятий разного размера, что особенно актуально в контексте публикации проекта документа NIST.