National Institute of Standards and Technology (NIST)公布了一份突破性的文件草案,在加强网络安全实践方面迈出了关键一步。本开创性指南的重点是将软件供应链安全保障措施集成到持续集成/持续部署 (CI/CD) 管道中,这在当前的数字环境中变得越来越重要。
云原生应用程序运行的核心是微服务架构,通常与集中式服务基础设施(例如服务网格)配对。 NIST的新草案文件强调了 DevSecOps 在这些应用程序开发中的重要性,其中 CI/CD 管道在引导软件完成构建、测试、打包和部署等阶段(反映软件供应链的过程)方面发挥着关键作用。
在谈到该草案文件在技术生态系统中的价值时,Endor Labs 的安全研究员 Henrik Plate 强调了它如何为开发组织提供指导。 Plate 的突出之处在于该文件强调访问控制措施,确定 CI/CD 管道中用户和服务帐户的角色和授权,并坚持最小特权和需要知道的原则。虽然在管道执行期间跨系统和服务管理这些大量授权的过程可能具有挑战性,但NIST提供的框架预计将提供很大帮助。
NIST的新草案回应了最近对软件漏洞和攻击的几项评估,这些评估促使活跃于软件开发、部署和集成的公共和私营部门组织优先考虑整个软件开发生命周期 (SDLC) 的安全性。
该文件指出,软件供应链(SSC)的安全依赖于构建、测试、打包和部署等阶段的完整性。因此,漏洞不仅可能来自恶意威胁行为者,还可能来自 SDLC 期间的失误和监督。
文件草案还承认在 SDLC 中实施 SSC 安全所需的巨大步骤时可能出现的挑战。正如普拉特指出的那样,该文件强调可能会对基础业务流程和运营成本造成重大干扰。
NIST的草案强调了Secure Software Development Framework (SSDF)的重要性,该框架本质上是一系列可靠、安全的软件开发实践,基于 BSA、OWASP 和 SAFECode 等知名组织的安全软件开发文档。
有趣的是,该草案涉及即将到来的自我证明要求,该要求将要求软件提供商证明遵守 SSDF 的安全开发实践。这在 DevSecOps、CI/CD 管道的背景下尤其重要,并且还定义了安全方面必要的内容。
Plate 提出的一个重要担忧是,Sigstore 和 in-toto 等旨在增强软件供应链的工具的采用相对缓慢。
该草案鼓励组织全面实施开源风险管理,而不是仅仅关注缺陷检测。他们应该考虑代码质量、其他项目活动、有助于降低安全和运营风险的风险指标等因素。
NIST的草案面向广泛的受众,主要针对软件行业的从业者;这包括软件工程师、站点可靠性工程师和产品或项目经理,以及安全架构师和工程师。公众可以在 2023 年 10 月 13 日之前对草案提出意见。
通过利用AppMaster等no-code平台,企业可以增强 CI/CD 管道中的数据安全性,提供安全的软件,并为加强整个软件供应链做出贡献。截至 2023 年 4 月, AppMaster平台拥有超过 60,000 名用户,可以有效地为不同规模的不同企业提供安全支持,这在NIST草案文件发布的背景下尤其重要。
