الإصدار النهائي SSDF (NIST 800-218) - الاختلافات عن المسودة وتأثيراتها عليك

جميع المشاركات

باراك برودو

في 22 مارس، أصدرت NIST الإصدار النهائي من SSDF 1.1 (إطار تطوير البرامج الآمن). 

تم نشر الإطار لأول مرة في سبتمبر 2021 كنسخة مسودة. تظل جميع الممارسات والمهام عالية المستوى كما هي مع وجود الكثير من الاختلافات التي تتمحور حول الأمثلة المتنوعة المقدمة.

ما هو إطار عمل NIST SP 800-218؟ يقوم SSDF بدمج توصيات أفضل الممارسات طويلة الأمد لتطوير البرمجيات الآمنة. تم تصميم منهجها القابل للتخصيص والمستقل عن القطاع لتسهيل الاتصالات بين الأقسام (والمنتج/المستحوذ) للمساعدة في تحديد الأهداف الإستراتيجية وتقييم الفجوات الحالية. 

يوصي NIST بموازنة المخاطر مقابل التكلفة والجدوى وقابلية التطبيق عند تحديد الممارسات التي سيتم تنفيذها. تعد الأتمتة ميزة أساسية يجب أخذها في الاعتبار لتحقيق الهدف المنشود وهو أتمتة أكبر عدد ممكن من عمليات الفحص والعمليات التي تعزز أمان البرامج.

الاختلافات بين النسخة النهائية والمسودة: 

التحقق من النزاهة – عند مناقشة نقاط الضعف، يكون هناك تركيز أكبر على التحقق من النزاهة عند النظر إلى التعليمات البرمجية الخاصة بك والمكتبات/المنتجات المكتسبة من مصادر خارجية.

شهادات غير قابلة للتغيير - يمكن توزيع مسؤولية تنفيذ الممارسات بين المنظمات المختلفة، خاصة عند النظر في مدى تعقيد سلاسل توريد البرمجيات. تنخفض الرؤية بشكل ملحوظ كلما انتقلت إلى أعلى أو أسفل السلسلة. ولهذا السبب توصي NIST بتدوين المسؤولية المشتركة التي تشمل كل من مقدمي ومستهلكي النظام الأساسي/الخدمة في العقد أو الاتفاقية. يجب أن يكون واضحًا الطرف المسؤول عن كل ممارسة ومهمة وكيف سيشهد كل مزود على امتثاله للاتفاقية. إن بديهية "الثقة ولكن التحقق" صحيحة هنا - الشهادات غير القابلة للتغيير التي يمكن مشاركتها بسهولة بين منتجي البرمجيات ومشتريها هي المفتاح لزيادة ثقة جميع أصحاب المصلحة في سلسلة توريد البرمجيات.

المشاركة المجتمعية مفتوحة المصدر - ينص NIST على أن العمل المستقبلي من المرجح أن يأخذ شكل حالات استخدام محددة وأنه ينوي التعاون معها مجتمع المصادر المفتوحة. وبالنظر إلى أن معظم منتجات التعليمات البرمجية التجارية المستخدمة اليوم تتضمن عناصر هامة للتعليمات البرمجية مفتوحة المصدر، فمن الطبيعي إشراك مجتمع المصادر المفتوحة في تخطيط وتنفيذ أمان دورة حياة البرامج.

درجات خطورة الضعف باعتبارها KRI (مؤشر المخاطر الرئيسي) - تغيير آخر يسري هو درجات الخطورة كمؤشر رئيسي. مع العلم أن الكثير من موظفي الأمن السيبراني يعانون من إرهاق التنبيه، فمن المنطقي لكل مؤسسة أن تحدد مقياس نقاط الضعف المناسب لها والمعاملة المحددة التي تستحقها كل درجة من هذه النقاط.

وصول بشري أقل، والمزيد من الأتمتة - يشجع NIST على تقليل الوصول البشري المباشر إلى أنظمة سلسلة الأدوات، مثل بناء الخدمات. كلما زاد عدد الأشخاص الذين يمكنهم الوصول، كلما زاد عدد الأخطاء التي يمكن أن تحدث. وهذا يندرج مرة أخرى في نفس سياق التوصية بمزيد من الأتمتة.

SBOMs بنزاهة - عند مناقشة SBOM (قائمة مواد البرنامج)، توصي NIST باستخدام حماية قوية لسلامة المنتج، بالإضافة إلى توفير طريقة للمستلمين للتحقق من هذه السلامة. يمكن أن يكون المستلمون أشخاصًا من داخل المؤسسة وخارجها، لذا فمن المنطقي استخدام نظام تابع لجهة خارجية لمشاركة SBOMs الآمنة.

ثنائي مقابل سلامة التعليمات البرمجية المصدر – إذا لم يكن من الممكن تأكيد سلامة أو مصدر الثنائيات المكتسبة، فمن المقترح إنشاء تلك الثنائيات من جديد من الكود المصدري. هذا على افتراض أنه يمكنك التحقق من سلامة الكود المصدري ومصدره. تقع على عاتق جميع الروابط في سلسلة توريد البرامج مسؤولية تقديم دليل يمكن التحقق منه على النزاهة، من خلال التوقيعات الرقمية أو آليات أخرى مثل SBOM.  

الملخص

وبشكل عام، ترى NIST أن "ممارسات ومهام وأمثلة التنفيذ الخاصة بـ SSDF تمثل نقطة بداية يجب أخذها في الاعتبار. ومن المفترض أن يتم تغييرها وتخصيصها، وأن تتطور بمرور الوقت.

إن SSDF ليس قائمة مرجعية يجب عليك اتباعها، ولكنه بدلاً من ذلك يوفر إرشادات لتخطيط وتنفيذ نهج قائم على المخاطر لتأمين تطوير البرامج.

وعلى النقيض من اللوائح القائمة على القانون في الولايات المتحدة، فإن صندوق تطوير الدفاع عن النفس سوف يعتمد على الأعمال التجارية ــ وسوف تستفيد الحكومة من قوتها الشرائية لحمل السوق على الالتزام بهذا الإطار الجديد لأفضل الممارسات. إذا لم تتمكن من إظهار الالتزام بإطار العمل، فلن يتم النظر في حصولك على العقود الحكومية. من المحتمل أن نشهد تأثيرًا تدريجيًا حيث ستطلب المؤسسات التي تفكر في التقدم للحصول على عقود حكومية من جميع بائعيها ومورديها الالتزام أيضًا، وهكذا دواليك في سلسلة توريد البرامج.

لمعرفة المزيد حول اللوائح الجديدة وSSDF، قم بزيارة ندوتنا عبر الإنترنت على “إزالة الغموض عن لوائح الأمن السيبراني الجديدة في عام 2022”.

يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.

الوظائف ذات الصلة

صورة تمثل الرسم البياني للتبعية
الرسم البياني لتبعية CycloneDX SBOM – ما هو المفيد؟

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]

Shutterstock_2061958478-webp
صعود SBOM – موقفنا من تقرير Gartner Innovation Insight الخاص بـ SBOMs

ومع الاستخدام المتزايد لمكونات الطرف الثالث وسلاسل توريد البرامج الطويلة، يمكن للمهاجمين الآن اختراق العديد من حزم البرامج في وقت واحد من خلال استغلال واحد. ردًا على ناقل الهجوم الجديد هذا، يتطلع المزيد من فرق التطوير وDevOps، بالإضافة إلى متخصصي الأمان، إلى دمج قائمة مواد البرامج (SBOM). سلسلة توريد البرمجيات […]

لقطة شاشة
ما الذي يختبئ في التعليمات البرمجية الخاصة بك؟

لا يمكنك الوثوق بالمنتجات الموقعة وتحديثات البائعين وربما تم تعديل الكود الخاص بك أو إضافته إليه بالفعل. إذن، ما الذي يمكنك فعله للتأكد من أنك لا تقوم بتثبيت ملفات ضارة في نظامك؟

المشاركات الأكثر شعبية
فهم وتنفيذ الأمر التنفيذي الفيدرالي الجديد رقم 14144 بشأن أمن البرمجيات: دليل عمليكيفية دمج SBOMs عبر SDLC بالكاملالدفاع ضد الهجمات الأخيرة على سلسلة توريد البرمجيات: الدروس والاستراتيجياتهل ستذهب إلى المعركة بدون خريطة؟
الأقسام