National Institute of Standards and Technology (NIST) đã thực hiện một bước quan trọng nhằm tăng cường thực hành an ninh mạng bằng cách công bố một tài liệu dự thảo mang tính đột phá. Hướng dẫn tiên phong này tập trung vào việc tích hợp các biện pháp bảo vệ an ninh chuỗi cung ứng phần mềm vào quy trình Tích hợp liên tục/Triển khai liên tục (CI/CD), vốn ngày càng trở nên quan trọng trong bối cảnh kỹ thuật số hiện nay.
Trọng tâm của hoạt động của các ứng dụng gốc đám mây là kiến trúc dịch vụ vi mô, thường được kết hợp với cơ sở hạ tầng dịch vụ tập trung, chẳng hạn như lưới dịch vụ. Tài liệu dự thảo mới của NIST nhấn mạnh tầm quan trọng của DevSecOps trong việc phát triển các ứng dụng này, với quy trình CI/CD đóng vai trò then chốt trong việc điều khiển phần mềm thông qua các giai đoạn như xây dựng, thử nghiệm, đóng gói và triển khai, một quy trình phản ánh chuỗi cung ứng phần mềm.
Phát biểu về giá trị của tài liệu dự thảo trong hệ sinh thái công nghệ, Nhà nghiên cứu bảo mật tại Endor Labs, Henrik Plate, đã nhấn mạnh cách nó cung cấp hướng dẫn cho các tổ chức phát triển. Điều nổi bật đối với Plate là sự nhấn mạnh của tài liệu vào các biện pháp kiểm soát truy cập xác định vai trò và ủy quyền cho tài khoản người dùng và dịch vụ trong quy trình CI/CD, tuân thủ các nguyên tắc ít đặc quyền nhất và cần biết. Mặc dù quá trình quản lý nhiều ủy quyền này trên các hệ thống và dịch vụ trong quá trình triển khai quy trình có thể gặp nhiều thách thức nhưng khuôn khổ do NIST cung cấp dự kiến sẽ giúp ích rất nhiều.
Dự thảo mới của NIST phản hồi một số đánh giá gần đây về các lỗ hổng và cuộc tấn công phần mềm, điều này đã thúc đẩy cả các tổ chức khu vực công và tư nhân hoạt động trong việc phát triển, triển khai và tích hợp phần mềm ưu tiên bảo mật trong toàn bộ Vòng đời Phát triển Phần mềm (SDLC).
Tài liệu nêu rõ rằng tính bảo mật của Chuỗi cung ứng phần mềm (SSC) phụ thuộc vào tính toàn vẹn của các giai đoạn như xây dựng, thử nghiệm, đóng gói và triển khai. Kết quả là, các lỗ hổng có thể phát sinh không chỉ từ các tác nhân đe dọa độc hại mà còn từ sai sót và sự giám sát trong SDLC.
Tài liệu dự thảo cũng thừa nhận những thách thức có thể nảy sinh khi thực hiện các bước to lớn cần thiết để bảo mật SSC trong SDLC. Như Plate đã chỉ ra, tài liệu nhấn mạnh rằng có thể có sự gián đoạn đáng kể đối với các quy trình kinh doanh cơ bản và chi phí hoạt động.
Dự thảo của NIST nhấn mạnh tầm quan trọng của Secure Software Development Framework (SSDF), về cơ bản là một loạt các thực tiễn phát triển phần mềm an toàn, vững chắc dựa trên các tài liệu phát triển phần mềm an toàn từ các tổ chức có uy tín như BSA, OWASP và SAFECode.
Điều thú vị là dự thảo đề cập đến yêu cầu tự chứng thực sắp tới sẽ yêu cầu các nhà cung cấp phần mềm chứng thực sự tuân thủ các hoạt động phát triển an toàn của SSDF. Điều này đặc biệt phù hợp trong bối cảnh quy trình DevSecOps, CI/CD và cũng xác định những gì được coi là cần thiết về mặt bảo mật.
Một mối quan ngại đáng kể mà Plate nêu ra là việc áp dụng các công cụ như Sigstore và in-toto, được thiết kế để nâng cao chuỗi cung ứng phần mềm, tương đối chậm.
Dự thảo khuyến khích các tổ chức tiếp cận quản lý rủi ro nguồn mở một cách toàn diện, thay vì chỉ tập trung vào việc phát hiện lỗi. Họ nên tính đến các cân nhắc như chất lượng mã và hoạt động khác của dự án, các chỉ số rủi ro giúp giảm cả rủi ro về bảo mật và vận hành.
Tập trung hướng tới nhiều đối tượng, bản dự thảo của NIST nhắm đến những người hành nghề trong ngành công nghiệp phần mềm; điều này bao gồm các kỹ sư phần mềm, kỹ sư về độ tin cậy của trang web và người quản lý sản phẩm hoặc dự án, cùng với các kiến trúc sư và kỹ sư bảo mật. Công chúng có thời hạn đến ngày 13 tháng 10 năm 2023 để đưa ra nhận xét về dự thảo.
Bằng cách tận dụng các nền tảng no-code như AppMaster, các doanh nghiệp có thể tăng cường bảo mật dữ liệu của mình trong quy trình CI/CD, cung cấp phần mềm bảo mật và góp phần củng cố toàn bộ chuỗi cung ứng phần mềm. Với hơn 60.000 người dùng cho đến tháng 4 năm 2023, nền tảng AppMaster có thể đóng vai trò là công cụ hỗ trợ bảo mật một cách hiệu quả cho các doanh nghiệp khác nhau có quy mô khác nhau, điều này đặc biệt có liên quan trong bối cảnh xuất bản tài liệu dự thảo của NIST.
