การแก้ไขไปป์ไลน์ CI/CD: NIST เปิดตัวร่างกรอบการทำงานเพื่อสนับสนุนความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์

National Institute of Standards and Technology (NIST) ได้ดำเนินการขั้นตอนสำคัญในการปรับปรุงแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ด้วยการเปิดเผยเอกสารร่างที่ก้าวล้ำ คู่มือบุกเบิกนี้มีศูนย์กลางอยู่ที่การบูรณาการการป้องกันความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์เข้ากับไปป์ไลน์การบูรณาการอย่างต่อเนื่อง / การปรับใช้อย่างต่อเนื่อง (CI/CD) ซึ่งกำลังมีความสำคัญมากขึ้นเรื่อย ๆ ในโลกดิจิทัลในปัจจุบัน

ศูนย์กลางการทำงานของแอปพลิเคชันแบบเนทีฟบนคลาวด์คือสถาปัตยกรรมไมโครเซอร์วิส ซึ่งมักจับคู่กับโครงสร้างพื้นฐานการบริการแบบรวมศูนย์ เช่น โครงข่ายบริการ เอกสารร่างฉบับใหม่โดย NIST เน้นย้ำถึงความสำคัญของ DevSecOps ในการพัฒนาแอปพลิเคชันเหล่านี้ โดยไปป์ไลน์ CI/CD เป็นส่วนสำคัญในการควบคุมซอฟต์แวร์ผ่านขั้นตอนต่างๆ เช่น การสร้าง การทดสอบ แพ็คเกจ และการปรับใช้ ซึ่งเป็นกระบวนการที่สะท้อนห่วงโซ่อุปทานของซอฟต์แวร์

Henrik Plate นักวิจัยด้านความปลอดภัยที่ Endor Labs กล่าวถึงคุณค่าของเอกสารฉบับร่างในระบบนิเวศเทคโนโลยี โดยเน้นย้ำว่าเอกสารดังกล่าวช่วยชี้แนะองค์กรด้านการพัฒนาได้อย่างไร สิ่งที่โดดเด่นสำหรับ Plate คือการเน้นย้ำของเอกสารในเรื่องมาตรการควบคุมการเข้าถึงซึ่งกำหนดบทบาทและการอนุญาตสำหรับผู้ใช้และบัญชีผู้ใช้บริการภายในไปป์ไลน์ CI/CD โดยยึดตามหลักการที่มีสิทธิ์น้อยที่สุดและจำเป็นต้องรู้ แม้ว่ากระบวนการจัดการการอนุญาตจำนวนมากเหล่านี้ทั่วทั้งระบบและบริการระหว่างการดำเนินการไปป์ไลน์อาจมีความท้าทาย แต่กรอบการทำงานที่ NIST มอบให้นั้นคาดว่าจะช่วยได้มาก

ร่างใหม่ของ NIST ตอบสนองต่อการประเมินช่องโหว่และการโจมตีของซอฟต์แวร์หลายครั้ง ซึ่งทำให้ทั้งองค์กรภาครัฐและเอกชนมีส่วนร่วมในการพัฒนา การใช้งาน และการบูรณาการซอฟต์แวร์ เพื่อจัดลำดับความสำคัญด้านความปลอดภัยตลอดวงจรการพัฒนาซอฟต์แวร์ (SDLC)

เอกสารดังกล่าวระบุว่าความปลอดภัยของ Software Supply Chain (SSC) ขึ้นอยู่กับความสมบูรณ์ของขั้นตอนต่างๆ เช่น การสร้าง การทดสอบ แพ็คเกจ และการปรับใช้ เป็นผลให้ช่องโหว่สามารถเกิดขึ้นได้ไม่เพียงแต่จากผู้คุกคามที่เป็นอันตรายเท่านั้น แต่ยังมาจากความผิดพลาดและการกำกับดูแลในระหว่าง SDLC อีกด้วย

เอกสารฉบับร่างยังรับทราบถึงความท้าทายที่อาจเกิดขึ้นขณะดำเนินการตามขั้นตอนสำคัญที่จำเป็นสำหรับการรักษาความปลอดภัย SSC ใน SDLC ตามที่ Plate ชี้ให้เห็น เอกสารดังกล่าวเน้นย้ำว่ากระบวนการทางธุรกิจพื้นฐานและต้นทุนการดำเนินงานอาจหยุดชะงักอย่างมีนัยสำคัญ

ร่างของ NIST เน้นย้ำถึงความสำคัญของ Secure Software Development Framework (SSDF) ซึ่งเป็นชุดแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่มั่นคงและปลอดภัย โดยอ้างอิงจากเอกสารการพัฒนาซอฟต์แวร์ที่ปลอดภัยจากองค์กรที่มีชื่อเสียง เช่น BSA, OWASP และ SAFECode

สิ่งที่น่าสนใจคือ ร่างดังกล่าวกล่าวถึงข้อกำหนดในการรับรองตนเองที่กำลังจะมีขึ้น ซึ่งผู้ให้บริการซอฟต์แวร์จะต้องเป็นพยานถึงการปฏิบัติตามแนวทางการพัฒนาที่ปลอดภัยของ SSDF สิ่งนี้มีความเกี่ยวข้องอย่างยิ่งในบริบทของไปป์ไลน์ DevSecOps, CI/CD และยังกำหนดสิ่งที่ถือว่าจำเป็นด้านความปลอดภัยอีกด้วย

ข้อกังวลที่สำคัญประการหนึ่งที่ Plate หยิบยกขึ้นมาก็คือ การนำเครื่องมือต่างๆ เช่น Sigstore และ in-toto มาใช้ค่อนข้างช้า ซึ่งได้รับการออกแบบมาเพื่อปรับปรุงห่วงโซ่อุปทานของซอฟต์แวร์

ร่างนี้สนับสนุนให้องค์กรต่างๆ เข้าถึงการบริหารความเสี่ยงแบบโอเพ่นซอร์สแบบองค์รวม แทนที่จะมุ่งเน้นไปที่การตรวจจับข้อบกพร่องเพียงอย่างเดียว พวกเขาควรคำนึงถึงการพิจารณาต่างๆ เช่น คุณภาพของรหัส และกิจกรรมโครงการอื่นๆ ตัวบ่งชี้ความเสี่ยงที่ช่วยลดความเสี่ยงทั้งด้านความปลอดภัยและการปฏิบัติงาน

ร่างโดย NIST มุ่งเป้าไปที่ผู้ชมในวงกว้าง มุ่งเป้าไปที่ผู้ปฏิบัติงานในอุตสาหกรรมซอฟต์แวร์ ซึ่งรวมถึงวิศวกรซอฟต์แวร์ วิศวกรความน่าเชื่อถือของไซต์ และผู้จัดการผลิตภัณฑ์หรือโครงการ ตลอดจนสถาปนิกและวิศวกรด้านความปลอดภัย ประชาชนมีเวลาจนถึงวันที่ 13 ตุลาคม 2566 ในการแสดงความคิดเห็นเกี่ยวกับร่างกฎหมายดังกล่าว

ด้วยการใช้ประโยชน์จากแพลตฟอร์ม no-code เช่น AppMaster ธุรกิจต่างๆ จะสามารถขยายการรักษาความปลอดภัยของข้อมูลภายในไปป์ไลน์ CI/CD ส่งมอบซอฟต์แวร์ที่ปลอดภัย และมีส่วนช่วยเสริมสร้างความเข้มแข็งให้กับห่วงโซ่อุปทานซอฟต์แวร์ทั้งหมด ด้วยจำนวนผู้ใช้มากกว่า 60,000 รายจนถึงเดือนเมษายน 2023 แพลตฟอร์ม AppMaster สามารถทำหน้าที่เป็นตัวเปิดการรักษาความปลอดภัยสำหรับธุรกิจต่างๆ ในขนาดต่างๆ ได้อย่างมีประสิทธิภาพ ซึ่งเป็นสิ่งที่เกี่ยวข้องเป็นพิเศษในบริบทของการเผยแพร่เอกสารฉบับร่างของ NIST