National Institute of Standards and Technology (NIST) çığır açan bir taslak belgeyi açıklayarak siber güvenlik uygulamalarını geliştirmeye yönelik kritik bir adım attı. Bu çığır açıcı kılavuz, yazılım tedarik zinciri güvenlik önlemlerinin, mevcut dijital ortamda giderek daha önemli hale gelen Sürekli Entegrasyon / Sürekli Dağıtım (CI/CD) hatlarına entegrasyonuna odaklanmaktadır.
Bulutta yerel uygulamaların çalışmasının merkezinde, genellikle hizmet ağı gibi merkezi bir hizmet altyapısıyla eşleştirilen bir mikro hizmet mimarisi bulunur. NIST yeni taslak belgesi, bu uygulamaların geliştirilmesinde DevSecOps'un öneminin altını çiziyor; CI/CD işlem hatları, yazılım tedarik zincirini yansıtan bir süreç olan derleme, test, paketleme ve dağıtım gibi aşamalar aracılığıyla yazılımı yönlendirmede çok önemli.
Taslak belgenin teknoloji ekosistemindeki değerinden bahseden Endor Laboratuvarları Güvenlik Araştırmacısı Henrik Plate, belgenin kalkınma kuruluşlarına nasıl yol gösterici bir el sunduğunu vurguladı. Plate için göze çarpan şey, belgenin CI/CD işlem hatları içindeki kullanıcı ve hizmet hesapları için rolleri ve yetkileri belirleyen, en az ayrıcalık ve bilinmesi gereken ilkelerine sadık kalarak erişim kontrolü önlemlerine yaptığı vurguydu. Boru hattının yürütülmesi sırasında sistemler ve hizmetler genelinde bu çok sayıda yetkilendirmeyi yönetme süreci zorlu olsa da, NIST tarafından sağlanan çerçevenin çok yardımcı olması bekleniyor.
NIST yeni taslağı, yazılım geliştirme, dağıtım ve entegrasyon konularında aktif olan hem kamu hem de özel sektör kuruluşlarını, tüm Yazılım Geliştirme Yaşam Döngüsü (SDLC) boyunca güvenliğe öncelik vermeye sevk eden yazılım güvenlik açıkları ve saldırılarına ilişkin son değerlendirmelere yanıt veriyor.
Belge, Yazılım Tedarik Zinciri'nin (SSC) güvenliğinin oluşturma, test etme, paketleme ve dağıtma gibi aşamaların bütünlüğüne bağlı olduğunu ortaya koyuyor. Sonuç olarak, güvenlik açıkları yalnızca kötü niyetli tehdit aktörlerinden değil, aynı zamanda SDLC sırasındaki hatalardan ve gözetimden de kaynaklanabilir.
Taslak belgede ayrıca SDLC'de SSC güvenliği için gereken muazzam adımların uygulanması sırasında ortaya çıkabilecek zorluklar da kabul ediliyor. Plate'in işaret ettiği gibi belge, temeldeki iş süreçlerinde ve operasyonel maliyetlerde önemli aksamalar olabileceğini vurguluyor.
NIST taslağı, esasen BSA, OWASP ve SAFECode gibi saygın kuruluşların güvenli yazılım geliştirme belgelerine dayanan bir dizi sağlam, güvenli yazılım geliştirme uygulaması olan Secure Software Development Framework (SSDF) öneminin altını çiziyor.
İlginç bir şekilde taslak, yazılım sağlayıcılarının SSDF'nin güvenli geliştirme uygulamalarına bağlılıklarını kanıtlamalarını sağlayacak, yakında çıkacak olan kendi kendini onaylama gereksinimini ele alıyor. Bu özellikle DevSecOps, CI/CD işlem hatları bağlamında geçerlidir ve güvenlik açısından neyin gerekli görüldüğünü de tanımlar.
Plate tarafından dile getirilen önemli endişelerden biri, yazılım tedarik zincirlerini geliştirmek için tasarlanan Sigstore ve in-toto gibi araçların benimsenmesinin nispeten yavaş olmasıdır.
Taslak, kuruluşları yalnızca kusur tespitine odaklanmak yerine açık kaynak risk yönetimine bütünsel olarak yaklaşmaya teşvik ediyor. Hem güvenliği hem de operasyonel riskleri azaltmaya yardımcı olan kod kalitesi, diğer proje faaliyetleri ve risk göstergeleri gibi hususları dikkate almalıdırlar.
Geniş bir kitleye odaklanan NIST taslağı, yazılım endüstrisindeki uygulayıcıları hedefliyor; buna yazılım mühendisleri, site güvenilirliği mühendisleri ve ürün veya proje yöneticilerinin yanı sıra güvenlik mimarları ve mühendisleri de dahildir. Halkın taslakla ilgili yorumlarını 13 Ekim 2023'e kadar sunmaları gerekiyor.
İşletmeler, AppMaster gibi no-code platformlardan yararlanarak CI/CD işlem hatları içindeki veri güvenliklerini artırabilir, güvenli yazılım sunabilir ve tüm yazılım tedarik zincirinin güçlendirilmesine katkıda bulunabilir. Nisan 2023'e kadar 60.000'den fazla kullanıcısı olan AppMaster platformu, farklı boyutlardaki farklı işletmeler için etkili bir şekilde güvenlik sağlayıcı olarak hizmet verebilir; bu, özellikle NIST taslak belgesinin yayınlanması bağlamında anlamlıdır.
