لا تكن الحلقة الأضعف: دور المطورين في تأمين سلسلة توريد البرمجيات

عندما تجتمع ثلاث وكالات حكومية أمريكية من أجل "تشجيع بقوة" المطورين على تبني ممارسات معينة، يجب عليك الانتباه. أعلنت CISA وNSA وODNI، اعترافًا بالتهديد الذي يشكله المتسللون السيبرانيون وفي أعقاب هجوم SolarWinds، أنهم سينشرون بشكل مشترك مجموعة من التوصيات لتأمين سلسلة توريد البرامج لمنع مثل هذه الثغرات الأمنية في المستقبل. . وأوضح الإعلان أن الغرض من الوثيقة هو تشجيع المطورين على تبني أفضل الممارسات، موضحًا أن "تتضمن هذه المبادئ تخطيط متطلبات الأمان، وتصميم بنية البرامج من منظور أمني، وإضافة ميزات الأمان، والحفاظ على أمان البرامج والبنية التحتية الأساسية."

تم تنظيم هذا الدليل في شكل سلسلة من ثلاثة أجزاء وسيتم إصداره بالتزامن مع دورة حياة سلسلة توريد البرامج. الجزء 1 من السلسلة، الذي يركز على التوصيات لمطوري البرامج، تم إصداره في أغسطس 2022. وسيتم إصدار الجزأين المتبقيين في المستقبل القريب: الجزء الثاني سيركز على موردي البرامج والجزء الثالث سيركز على العملاء الذين يتلقون البرنامج. الهدف النهائي هو أن تساعد هذه السلسلة في تعزيز التواصل بين أصحاب المصلحة الرئيسيين الثلاثة وبين متخصصي الأمن السيبراني لتسهيل زيادة المرونة والتحسين بشكل عام أمن سلسلة توريد البرمجيات.

على الرغم من أنه ليس من الواضح دائمًا من يتحمل مسؤولية ضمان أمان البرامج، بغض النظر عمن يتحمل المسؤولية الشاملة في مؤسستك المحددة، فإن هذا دليل جديد يوضح تمامًا أنه يجب على جميع المطورين التعرف على أفضل الممارسات الجديدة وأنهم جميعًا لهم دور في تأمين سلسلة توريد البرامج. أو، إذا كنت قد أكون أكثر صراحة: أيها المطورون، أنتم تلعبون دورًا حاسمًا في تأمين سلسلة توريد البرامج الخاصة بمؤسستكم! ولهذا السبب، نعتقد أنه قد يكون من المفيد قراءة ملخص قصير (نسبيًا) لهذا الجزء الأول من الدليل، خصيصًا لك. هاهي آتية. 

الدليل باختصار:

من بين القوائم الشاملة للتهديدات المحتملة المشار إليها في هذا الدليل العملي للمطورين، هناك عدد قليل من نقاط الضعف الرئيسية التي تم تحديدها ويجب عليك التأكد من معالجتها والاستعداد لها:

• الميزات التي لم يتم توثيقها بشكل صحيح أو التي تنفذ وظائف محفوفة بالمخاطر
• التحولات الخفية في افتراضات الأمان الأساسية بين وقت تقييم الأمان وتسليم الكود 
• تغييرات الشركات لأصحاب المصلحة في سلسلة التوريد
• ممارسات التشفير أو الأمان دون المستوى

يتحمل كل من مديري الإدارة والمالية والبرامج مسؤولية معالجة أمن سلسلة توريد البرامج، ولكن سلامة سلسلة توريد البرامج أمن سلسلة توريد البرمجيات غالبًا ما يعتمد ذلك على يقظة مطوري البرامج والوعي بين جميع أصحاب المصلحة في سلسلة التوريد. يركز الجزء الأول من الدليل على دور المطورين والتهديدات الكامنة في كل مرحلة من مراحل عملية التطوير، ويقدم توصيات لاستراتيجيات التخفيف التي ينبغي أن تصبح ممارسات قياسية. 

المرحلة رقم 1: تأمين معايير المنتج وإدارته

يبدأ التطوير الآمن بالاعتراف بأهمية أمان سلسلة توريد البرامج من قبل جميع أصحاب المصلحة الرئيسيين في فرق المنتج والتطوير. سيناريوهات التهديد شائعة وقد تكون واضحة للجميع؛ ويتمثل التحدي في جعل الجميع على نفس الصفحة فيما يتعلق بسياسات التخفيف التي تم اتخاذ القرار بشأنها. يجب أن تغطي هذه السياسات العملية بأكملها: التصميم والهندسة المعمارية، ونمذجة التهديدات، والترميز، وخطط اختبار الأمان، ومعايير الإصدار، وكيفية إدارة الثغرات الأمنية في المستقبل. يتضمن جزء من هذا أيضًا تقييم قدرات الفرق والتأكد من تدريبهم بشكل صحيح على مهامهم ومن ثم تحديد ممارسات التوثيق والمراجعات الأمنية الدورية وتقييمات التهديدات.

المرحلة الثانية: تطوير الكود الآمن

عندما يتعلق الأمر بتطوير التعليمات البرمجية، فقد تم بالفعل وضع الممارسات الصحيحة للتشفير الآمن في قوات دفاع جنوب السودان. ولهذا السبب، إلى الحد الذي لم يتم فيه تحديد لغة البرمجة مسبقًا، يجب أن تكون الاعتبارات الأمنية جزءًا من هذا القرار أيضًا. الدليل يوفر إرشادات مفيدة للمطورين، معالجة مجموعة واسعة من السيناريوهات، مثل إدخال كود المصدر الضار من قبل "المطلعين" (على سبيل المثال، المطورين)، والبرمجيات مفتوحة المصدر وأفضل الممارسات للتعامل معها. كيفية إنشاء بيئة آمنة للترميز (بما في ذلك تكوينات البناء الآمنة وأدوات برامج الطرف الثالث) ثم اختبار أمان منتج متكامل. وبما أن الثغرات الأمنية من المحتمل أن تظهر بعد التسليم أيضًا، فهناك أيضًا توصيات للتعامل مع الثغرات الأمنية المبلغ عنها والتأكد من أن ملحقات البرامج الخارجية المستقبلية لا تؤثر على سلامة أمان المنتج.

المرحلة رقم 3: تقوية بيئة البناء

بمجرد تطوير التعليمات البرمجية بشكل آمن، يتطلب أمان سلسلة توريد البرامج تقوية بيئة البناء وفقًا لنفس معايير البرنامج نفسه. يعد اختراق نظام البناء طريقة جذابة لاختراق التعليمات البرمجية، نظرًا لأنه يأتي في مرحلة من عملية التطوير التي لا تخضع للتدقيق بشكل طبيعي من قبل المطورين. 

المرحلة رقم 4: تسليم الكود

وتغطي نقطة الضعف الأخيرة التي يتناولها الدليل المرحلة الأخيرة من سلسلة توريد البرامج، ألا وهي تسليم التعليمات البرمجية. حتى عندما يتم تأمين التعليمات البرمجية بشكل صحيح حتى هذه النقطة، لا تزال هناك نقطتا ضعف رئيسيتان في سلسلة التوريد يجب تخفيفهما. الأول هو التحقق النهائي من صحة الحزمة، والذي يمكن استغلاله، على سبيل المثال، عن طريق الكشف عن غير قصد عن البيانات الوصفية، أو بيانات اعتماد المطور، أو المخزون مفتوح المصدر. والخطوة الأخرى التي غالبًا ما يتم فحص نقاط الضعف فيها هي نظام التوزيع، الذي يمكن أن يتعرض للخطر من خلال هجوم رجل في الوسط يمكن أن يتولى مرحلة أو أكثر من مراحل التسليم.

ومن خلال تطبيق ممارسات تخفيف المخاطر هذه على مستوى تطوير البرمجيات، يمكن لبائعي البرامج تجنب نقاط الضعف التي يمكن أن تؤدي، على سبيل المثال، إلى تسلل التحديثات، والتلاعب بتوقيع التعليمات البرمجية و"المفاجآت" المخفية في التعليمات البرمجية مفتوحة المصدر.

لا يوجد شيء اسمه وجبة غداء مجانية: التكلفة الخفية لبرامج الطرف الثالث

عبر GIPHY

مفتاح مساهم في سرعة المطور أصبحت القدرة على دمج برامج الطرف الثالث بشكل فعال. وقد أتاح هذا للمطورين التركيز، على سبيل المثال، على الابتكار أو الوظيفة، أثناء استخدام المكونات الجاهزة لقابلية التوسع أو الواجهات. أدى هذا الاستخدام المتزايد لبرامج الطرف الثالث إلى خلق تحدي كبير لأمن سلسلة توريد البرامج. بالإضافة إلى إجراء تقييم لهذه التعليمات البرمجية وفقًا لنفس المعايير المستخدمة لتقييم التعليمات البرمجية الخاصة بك، يقترح الدليل فحص الثنائيات بحثًا عن أي ثغرات أمنية وتقييم المخاطر الناتجة. يجب أن تأخذ نتائج هذا التقييم في الاعتبار قرار استخدام أو عدم استخدام مكون برمجي محدد. يجب أن يأخذ اختيار مكون البرنامج أيضًا في الاعتبار مصدره؛ يعد دمج مكونات الطرف الثالث في كود المصدر الخاص بك بمثابة بداية لعلاقة طويلة ويجب أن تسعى جاهدة للعمل مع شركاء يمكنك الوثوق بهم. تعد ملكية التعليمات البرمجية وممارسات البرمجة وسياسات إدارة الإصدارات مجرد نقاط قليلة يجب مراعاتها عند اختيار مصدر موثوق. ما عليك سوى التفكير في جميع التحديثات والإصدارات وأعمال الصيانة المستقبلية لكل مكون عند اكتشاف تهديدات جديدة. سيتمثل التحدي في مراقبة جميع تغييرات الطرف الثالث، وتقييم نقاط الضعف والاستجابة وفقًا لذلك، وأحيانًا تحت ضغط زمني شديد. 

عزز أمان سلسلة توريد البرامج الخاصة بك باستخدام SBOM

إحدى الممارسات الرئيسية لضمان سلامة سلسلة توريد البرامج الخاصة بك على المدى الطويل هي الحفاظ على تحديثها فاتورة مواد البرمجيات (سبوم). إن SBOM عبارة عن جرد تفصيلي لمكونات البرامج التي تشكل حلاً معينًا. 

سيوفر لك هذا الوقت والجهد، والأهم من ذلك أنه سيقلل من تعرضك للتهديدات المستمرة. يجب أن يأتي كل مكون برمجي مدمج في منتجك مزودًا بـ SBOM الخاص به، والذي يجب التحقق من صحته ودمجه في SBOM "رئيسي" واحد للمنتج. إذا كنت تنوي دمج مكونات لا تأتي مع SBOM، فستحتاج إلى إجراء التحليل الخاص بك باستخدام أدوات تحليل تكوين البرامج (SCA).

كلما كان SBOM أكثر دقة ووصفًا، كان من الأسهل الحفاظ عليه والرجوع إليه. نظرًا للمعدل المذهل الذي يتم به تحديث مكونات البرامج، أ SBOM جيدة التنظيم سوف تؤتي ثمارها عندما يحين وقت تعقب وتسجيل كل تحديث أو تصحيح أو إصدار. والأهم من ذلك، أنه بمجرد اكتشاف تهديد أمني، تصبح كل لحظة حاسمة. تذكر: أمن سلسلة توريد البرمجيات الخاصة بك ستكون دائمًا بنفس قوة أضعف حلقاتك. عندما تكون هناك عشرات من مكونات البرامج معرضة للخطر، ستكون ممتنًا لـ SBOM الذي لديه جميع الإجابات.

للحصول على سير عمل فعال، يجب أن يتضمن SBOM المفيد على الأقل هذه المكونات الثلاثة:

1. حقول البيانات - هذه هي واصفات المكونات التي قمت بتنفيذها. إن القدرة على تحديد المكونات التي تم استخدامها بسهولة، حتى بعد فترة طويلة من اكتمال التطوير، تساعد على مراقبتها بشكل فعال بحثًا عن نقاط الضعف.  
2. دعم الأتمتة - تتطلب المراقبة التلقائية لـ SBOM أن يتم تعريفها أيضًا بأحد التنسيقات المقبولة القابلة للقراءة آليًا. 
3. الممارسات والوعود - تتطلب إدارة SBOM فهمًا مشتركًا لممارسات الصيانة، مثل تكرار الإصدارات والتبعيات والمجهول المعروف والتوزيع والتسليم والتحكم في الوصول وكيفية استيعاب الأخطاء.

تساعد مشاركة SBOM بين أصحاب المصلحة في منتج معين (مطور البرنامج، ومورد البرنامج، والعميل) على تعزيز الشفافية والمواءمة، مما يزيد من قدرة سلسلة توريد البرامج على الدفاع عن المنتج ضد التهديدات الأمنية. تجدر الإشارة إلى أنه، نظرًا لجميع الأجزاء المتحركة في سلسلة توريد البرامج، فإن الحفاظ باستمرار على مثل هذا SBOM - الذي يمكن الرجوع إليه بسهولة ومراقبته وصيانته - يمثل تحديًا معقدًا. 

الكلمات الأخيرة: كيف يمكنك الارتقاء بأمان سلسلة توريد البرامج لديك إلى المستوى التالي؟

نظرًا لأن أمان سلسلة توريد البرامج أصبح أكثر أهمية، تواجه المؤسسات تحديات متكررة لبناء ثقة شفافة في البرامج التي تقدمها أو تستخدمها. نظرًا لأنه من المتوقع أن ينمو اعتماد SBOM كأفضل ممارسة، فإن امتلاك أداة تمكنك من التغلب على هذا التحدي يعد خطوة أساسية نحو إنشاء أمان سلسلة توريد البرامج. ولهذا السبب أطلقنا مؤخرًا أول مركز أمني قائم على الأدلة للمنتجات البرمجية، تمكين مستخدميها من بناء الثقة في برامجهم عبر الفرق والمؤسسات. ستساعد هذه المنصة سهلة الاستخدام فرق التطوير على التخفيف من مخاطر سلسلة توريد البرامج من خلال جعل SBOM سهل الوصول إليه وسهل الاستخدام، والأهم من ذلك -جعل أمان المنتجات البرمجية شفافًا للعملاء والمشترين وفرق الأمان. 

إذا كنت، كمطور برامج، مهتمًا بالتهديدات التي يتعرض لها أمان سلسلة توريد البرامج لديك، فإننا نحثك على القيام بذلك جرب المنصة; إنه مجاني للاستخدام، بدون شروط. من خلال تنفيذ سير العمل الخاص بنا، ستتمكن من مشاركة SBOMs عبر سلسلة التوريد الخاصة بك.  

الوظائف ذات الصلة

ما الذي تغير في إطار عمل الأمن السيبراني NIST 2.0 ولماذا يجب أن تهتم؟

في أوائل أغسطس، أصدر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) مسودة نسخة 2.0 من إطار عمل الأمن السيبراني البارز، والذي نُشر لأول مرة في عام 2014. لقد تغير الكثير على مدى السنوات العشر الماضية، وليس أقلها المستوى المتزايد من الأمن السيبراني. تهديدات الأمن السيبراني التي حددتها الوثيقة الأصلية لمساعدة الحرجة [...]

مل-ماذا؟ فهم مفهوم واستخدامات ML-Bom

لم تستوعب الصناعة بعد فكرة SBOM بشكل كامل، وقد بدأنا بالفعل في سماع مصطلح جديد - ML-BOM - قائمة مواد التعلم الآلي. قبل أن يبدأ الذعر، دعونا نفهم لماذا يجب أن يتم إنتاج مثل هذا BOM، والتحديات في إنشاء ML-BOM، وكيف يمكن أن يبدو مثل ML-BOM. […]

الرسم البياني لتبعية CycloneDX SBOM – ما هو المفيد؟

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]