ما هو أمن سلسلة توريد البرمجيات؟

تشمل سلسلة توريد البرامج كل ما يؤثر أو يلعب دورًا في منتج أو تطبيق خلال دورة حياة تطوير البرنامج بأكملها (SDLC).

في السنوات الأخيرة، أصبحت الهجمات على سلسلة توريد البرمجيات أكثر انتشارًا وتطورًا. في تقريرهم لعام 2022، غارتنر الدول: "توقع التوسع المستمر في سطح الهجوم المؤسسي وزيادة الاستثمار في العمليات والأدوات اللازمة لاكتشاف تهديدات الهوية ومعالجتها وتكامل سلسلة التوريد الرقمية."

لقد أصبح من المهم أكثر من أي وقت مضى تأمين جميع المكونات والأنشطة وممارسات SDLC المشاركة في إنشاء البرامج ونشرها. يجب على فرق التطوير وبائعي البرامج التأكد من أنهم يستخدمون فقط مكونات التعليمات البرمجية الخالية من الثغرات الأمنية المعروفة وإيجاد طرق للتحقق من سلامة بنيتهم، والتحقق من التلاعب غير المصرح به.

تعريف أمن سلسلة توريد البرمجيات

تشير سلسلة توريد البرامج إلى كل ما يتعلق بتطوير التطبيق طوال دورة حياة تطوير البرنامج (SDLC) بأكملها. يتطلب إنشاء البرامج ونشرها تأمين الأنشطة والعمليات والمكونات الخاصة بسلسلة التوريد الخاصة بها. هناك العديد من العوامل التي يجب مراعاتها في هذا الصدد، بما في ذلك التعليمات البرمجية المخصصة (المكونات الداخلية)، والتبعيات والمكتبات مفتوحة المصدر (مكونات الطرف الثالث)، وأدوات DevOps والبنية التحتية التي تشكل عملية CI/CD، وأخيرًا المطورين وDevOps فرق.

وتقع على عاتق المؤسسات مسؤولية تنفيذ هذه الأنشطة الأمنية وتقديم دليل على جهودها الأمنية للعملاء.

 

 

الهجمات على سلاسل توريد البرمجيات: لماذا هي شائعة جدًا؟

تعد مسارات البرامج الحديثة بيئات آلية تعتمد على مجموعة متنوعة من الأدوات للتكامل المستمر والتسليم المستمر. قد ينتهي الأمر بمشروع برمجي يتضمن آلاف التبعيات مفتوحة المصدر.

يمكن للجهات الفاعلة الضارة تقديم مكتبات مارقة على أنها مكتبات شرعية من خلال استغلال "العيوب المنطقية" في مديري الحزم مفتوحة المصدر. على سبيل المثال، يمكن أن تُنسب الحزم التي تحتوي على برامج ضارة إلى مشرفين موثوقين دون علمهم. مثل هذه الثقة في غير محلها يمكن أن تؤدي إلى ظهور ثغرات أمنية مخفية وإشكالية في التعليمات البرمجية الخاصة بك. يمكن أن توفر نقاط الضعف هذه للمهاجمين إمكانية الوصول إلى البيانات الحساسة أو تسمح لهم بزرع البرامج الضارة وأنظمة التحكم عبر سلسلة التوريد.

تتمتع بيئة التطوير الحديثة بنقاط ضعف خاصة بها، وقد استهدفت مجموعة متنوعة من هجمات سلسلة توريد البرامج خط أنابيب CI/CD لإدراج تعليمات برمجية ضارة في مرحلة ما خلال عملية التطوير. وهنا أيضًا، يعد افتراض الثقة الصفرية هو النهج المناسب لكسب الثقة في منتج البرنامج النهائي - فحص كل خطوة في سلسلة التطوير الداخلي والتحقق منها والتحقق من صحتها.
تفتقر خطوط أنابيب CI/CD اليوم إلى الرؤية والضوابط لتوفير الحماية الكافية لعملية تطوير البرمجيات. كما أنهم يكافحون من أجل اكتشاف التلاعب بالشفرات، مما يجعل ناقل الهجوم هذا أكثر جاذبية.

تم الانتهاء من SSDF (NIST 800-218) وأصبح ساري المفعول

إطار SSDF (NIST 800-218). يتطلب من الموردين تنفيذ ممارسات أمنية تغطي دورة حياة تطوير البرمجيات (SDLC). إنه يعزز الشفافية وإجراءات مقاومة التلاعب في محاولة لتقليل الثغرات الأمنية والتدخلات الضارة.

وعلى وجه التحديد، فهو يحتوي على إرشادات لنهج قائم على الأدلة لحماية البرنامج نفسه من العبث به.

يتكون SSDF من أربعة أجزاء رئيسية:

01 /
إعداد المنظمة (PO):

تأكد من أن الأشخاص مستعدون وأن العمليات والتكنولوجيا موجودة لتنفيذ تطوير آمن للبرامج على مستوى المؤسسة، وفي بعض الحالات، لمجموعات أو مشاريع التطوير الفردية.

02 /
حماية البرنامج (PS):

حماية كافة مكونات البرنامج من أي وصول غير مصرح به أو العبث.

03 /
إنتاج برامج مؤمنة جيدًا (PW):

إنتاج برامج آمنة بشكل جيد مع الحد الأدنى من الثغرات الأمنية في إصداراتها.

04 /
الاستجابة لنقاط الضعف (RV):

تحديد نقاط الضعف المتبقية في إصدارات البرامج، والاستجابة بشكل مناسب لمعالجة نقاط الضعف تلك، ومنع حدوث نقاط ضعف مماثلة في المستقبل.

لا ينبغي عليك الرجوع إلى SSDF كقائمة مرجعية بل كدليل لتخطيط وتنفيذ نهج قائم على المخاطر والأدلة لتطوير البرامج الآمنة.
يجب على الشركات اتخاذ خطوات لتحسين وضعها الأمني ​​من أجل تسهيل الامتثال للتغييرات التنظيمية الناشئة.

SLSA هو إطار عمل يجب عليك الالتزام به

يوفر إطار العمل الذي تم إنشاؤه في Google، والذي يسمى SLSA (مستويات سلسلة التوريد لعناصر البرامج)، إرشادات حول كيفية الوصول إلى أربعة مستويات من حماية سلسلة توريد البرامج. يركز الإطار على سلامة بناء القطع الأثرية بهدف منع العبث بالقطع الأثرية وتأمينها.

تعمل SLSA بهذه الطريقة: تقوم بتنفيذ قوائم مرجعية لضوابط الأمان التي يجب عليك تنفيذها في المسار الخاص بك، وتكون عناصر التحكم هذه في نطاقات فرعية مثل أنظمة التحكم في المصدر، وأنظمة البناء والتبعيات التي تدخلها في مشاريع البرامج الخاصة بك.

ويضع SLSA أربعة مستويات من الامتثال بهدف الوصول إلى المستوى 4، والذي سيكون له أعلى قيمة أمنية، ولكن سيكون له قائمة أطول من المتطلبات.

يعتمد إطار عمل SLSA على مفهوم المصدر. وثيقة تمثل "سلسلة من الأدلة" تشير إلى أصل القطع الأثرية وعملية بنائها. عندما ترتفع مستويات SLSA، فإنك تحتاج إلى حماية الأدلة نفسها بشكل أفضل.

يجب عليك اعتبار SLSA معيارًا صناعيًا ومستوى حماية وامتثالًا معروفًا ومتفقًا عليه ويجب عليك الالتزام به.

كيفية تأمين سلسلة توريد البرمجيات الخاصة بك؟

تحدد الأطر المختلفة التي ذكرناها مبادئ تأمين سلسلة توريد البرامج وتتطلب اهتمامك.

ومع ذلك، نود أن نؤكد ثلاث فئات رئيسية من الضوابط الأمنية:

1. قم بتأمين تكوين دورة حياة تطوير البرامج الخاصة بك

تعمل بيانات الاعتماد المخترقة والتحكم غير الكافي في الأذونات وأنظمة البناء الضعيفة على إنشاء أسطح هجوم تؤثر على منتج البرنامج. يمكن للمهاجمين الذين يستغلون نقاط الضعف هذه سرقة أسرار غير آمنة أو العبث بعناصر البرامج. قد توفر مجموعة من الحلول التجارية ومفتوحة المصدر في هذه الفئة ضوابط لرسم خريطة للثغرات في الوضع الأمني ​​ومعالجتها.

2. تجنب الاعتماد على التبعيات الضعيفة أو الضارة

ومن المؤكد أنه سيستمر اكتشاف نقاط الضعف الجديدة في البرامج مفتوحة المصدر والبرامج التجارية. يجب على منتجي البرمجيات التخفيف من هذه المخاطر عن طريق ترقية المكونات الضعيفة مفتوحة المصدر، والمسح بحثًا عن نقاط الضعف الذاتية في كود الملكية الخاص بهم، وإبلاغ مستهلكي البرامج حول قائمة مواد البرنامج (SBOM) والآثار المرتبطة بها. ويمكن لهؤلاء المستهلكين بدورهم اتخاذ الإجراءات وفقًا لذلك.

تشكل حسابات المشاريع مفتوحة المصدر التي تم الاستيلاء عليها والحزم الضارة التي تتنكر على أنها شرعية، مخاطر إضافية، تؤثر في المقام الأول على السرقة السرية من خطوط الأنابيب. يعمل مجتمع المصادر المفتوحة وبعض البائعين التجاريين على معالجة هذه المشكلة من خلال تحسين السمعة واكتشاف السلوكيات الضارة.

3. التحقق من سلامة وبنية البرمجيات الآمنة

الأمن السيبراني يتطلب الدفاع في العمق. يمكن أن تتسلل الهجمات عبر الشقوق عند استخدام أسلوب الحماية التقليدي لتقليل سطح الهجوم والكشف عنه والسمعة. وفي الوقت الحاضر، ليس لدى مستهلكي البرمجيات النهائية تأثير يذكر على هذه الضوابط. على الأكثر، يمكنهم الاعتماد على عمليات التدقيق الأمني ​​في الوقت المناسب، مثل مسح التعليمات البرمجية الذي يوفر لمحة سريعة عن الثغرات الأمنية، للموردين الذين لا يخلقون ثقة حقيقية بأن قطعة البرنامج مؤمنة بشكل جيد ومحمية ضدها أثناء دورة حياة التطوير.

تتوفر الآن فئة جديدة وناشئة من عناصر التحكم التي تشهد بشكل مستمر على سلامة كل عملية تطوير آمنة لكل منتج برمجي. هذه الشهادات غير حسنة السمعة ويمكن مشاركتها بين المنتجين والمستهلكين النهائيين الذين يبحثون عن التحقق من الصحة. يتم تحقيق عدم الإنكار من خلال أساليب التشفير، وبالتالي يرفع بشكل كبير سعر أي مهاجم يتسلل إلى سلسلة التوريد.

يعتبر هذا النهج ضروريًا من قبل الخبراء في مجال أمن سلسلة توريد البرمجيات. ومع ذلك، على الرغم من وجود بعض العناصر الأساسية مفتوحة المصدر لدعم هذه الفئة من عناصر التحكم، إلا أن عددًا قليلاً فقط من البائعين يمكنهم توفير حل متكامل.

يجب أن يتضمن الحل الكامل لسلسلة توريد البرامج ما يلي:

جمع الأدلة وتوقيعها كشهادات من عمليات تطوير وبناء البرمجيات. عادةً ما يكون هذا الدليل عبارة عن تجزئات ملف تحتوي على بيانات التعريف التي تتم مقارنتها بين الخطوات ذات الصلة في العملية، والأحداث المتعلقة بالخطوات المتعلقة بالأمان مثل هويات مرتكب التعليمات البرمجية، ومراجعات التعليمات البرمجية، واختبارات الأمان التلقائية، وما إلى ذلك. ومن الضروري أيضًا تقديم شهادة فيما يتعلق بالوضع الأمني ​​لعملية إنشاء منتج البرنامج في وقت إنشاء قطعة البرنامج.

مخزن تصديق آمن يسمح بالرؤية ويدعم التحليلات مثل التحقق من صحة سلامة التعليمات البرمجية.

محرك سياسة يقيس هذه الشهادات مقابل سياسة تنظيمية محددة أو سياسة قائمة على المعايير للتحقق من صحة الامتثال وإظهاره.

مركز تبادل للمعلومات المتعلقة بالثقة بين منتجي البرمجيات أو المستهلكين؛ قد يكون هذا بين المؤسسات أو داخلها).

تفاصيل أكثر

يعد التحقق من سلامة البرامج أمرًا صعبًا

يجب أن يكون التحقق من سلامة التعليمات البرمجية أمرًا سهلاً من الناحية النظرية. مجرد مقارنة الملفات، أليس كذلك؟ في الواقع، هناك الكثير مما يجب أخذه بعين الاعتبار. بالنسبة للمبتدئين، تقوم كل لغة بتجميع الملفات بشكل مختلف. علاوة على ذلك، يتم استخدام الملفات بشكل مختلف تمامًا اعتمادًا على الغرض منها. بعضها مخصص للتغيير، بينما يتم حذف البعض الآخر، ويتم إنشاء البعض الآخر أثناء عملية التجميع.

أضف إلى ذلك حقيقة أن الشركات لا ترغب في تسليم رموز الملكية الخاصة بها لبعضها البعض.

ضمان الكود في جميع أنحاء SDLC بالكامل

يسعى Scribe إلى تأمين SDLC بالكامل بشكل مستمر. من خلال الأدلة التي تم جمعها من أجزاء مختلفة من عملية التطوير والبناء، يستخدم Scribe التوقيع الرقمي لإنشاء شهادات غير قابلة للتزوير.

بمجرد التوقيع، يمكن التحقق من كل جزء من الأدلة لاحقًا لضمان حدوث جميع العمليات كما هو مخطط لها وعدم حدوث أي تعديلات غير مخطط لها.

باتباع أفضل الممارسات المنصوص عليها في SSDF، يتيح لك Scribe استخدام سياسات المنطق السليم لزيادة ثقتك طوال عملية التطوير. تساعد السياسات مثل طلب الالتزامات الموقعة، والمصادقة الثنائية للمطورين، ومراجعة التعليمات البرمجية من شخصين، وما إلى ذلك، على توليد الثقة في أن كل جزء من البرامج قد تم إنتاجه باتباع الوضع الأمني ​​الصحيح.

إن جمع كل هذه الأدلة في مكان واحد، إلى جانب تقرير سلامة التعليمات البرمجية وملخص لجميع السياسات والشهادات يسمح بمزيد من الرؤية والثقة في عملية التطوير ومنتجات البرامج المنتجة في النهاية، ويتوافق مع إرشادات SSDF المعمول بها على أساس اللائحة السيبرانية الجديدة.

إن السماح للمشتركين المحددين بمشاهدة امتثال المنتج لمتطلبات السياسة ونتائج التكامل يوفر للمستخدمين رؤية وثقة أكبر في مسارات التطوير ومنتج البرنامج النهائي.

والنتيجة النهائية لا تقتصر على اكتشاف العبث بالكود أو خطوط الأنابيب فحسب، بل أيضًا القدرة على إثبات الاختبارات وإجراءات الأمان التي تمت أثناء تصميم البرنامج وإنشائه، فضلاً عن سلامة الكود المصدري والحزم مفتوحة المصدر المستخدمة في بنائه.

تعرف على المزيد

شرح أمن سلسلة توريد البرمجيات

ما الذي يختبئ في التعليمات البرمجية الخاصة بك؟

كيفية تحسين الثقة في سلسلة توريد البرمجيات؟

ما هي الآثار المترتبة على الإصدار النهائي SSDF (NIST 800-218)؟

ما قصة الضمان المستمر وأمن سلسلة توريد البرامج؟

لماذا يعد الضمان المستمر ممارسة متكاملة لأمن سلسلة توريد البرامج؟

كيفية تنفيذ التقييم الآلي للامتثال لـ SLSA؟

كيف يمكن لـ SBOM تعزيز أمان سلسلة توريد البرامج؟

كيفية تأمين البرامج الخاصة بك مع SBOMs؟

أتمتة تقييم الامتثال لـ SLSA

يجب قياس أمان خطوط الأنابيب الديناميكية بشكل مستمر. تحدد SLSA (مستويات سلسلة التوريد للعناصر البرمجية) أربعة مستويات لحماية سلسلة توريد البرامج بالإضافة إلى إرشادات حول كيفية الوصول إليها.

يمكن أتمتة تقييم الامتثال لـ SLSA لتلبية متطلباتهم. ولكن كيف ينبغي للمنظمة أن تسعى للحصول على واحدة؟ هل هناك أفضل الممارسات المحددة التي يجب عليك اتباعها؟

شاهد هذا الفيديو حيث نشارك أفضل الممارسات لتنفيذ الأتمتة، باستخدام أدوات مفتوحة المصدر مثل Sigstore وOPA في سيناريوهات العالم الحقيقي. تسلط أفضل الممارسات المفاهيمية والفنية الضوء على تفاصيل العالم الحقيقي وتحديات تقييم وأتمتة الامتثال لـ SLSA.

قبل استخدام الكاتب بعد استخدام الكاتب
Trust Hub – تبادل المعلومات

  • يتم حفظ SBOM الذي تم إنشاؤه محليًا لكل قناة واحدة، دون القدرة على إدارتها أو مشاركتها مع أصحاب المصلحة عبر المؤسسة أو خارجيًا.

  • مشاركة وإدارة SBOMs، سواء داخليًا داخل المنظمة مع أصحاب المصلحة الآخرين أو خارجيًا مع العملاء أو المستخدمين
  • SBOM ذكي مع رؤى قابلة للتنفيذ
  • يمكن استخدام رؤى SBOM بمثابة "بوابة" للانتقال/عدم الانطلاق على المسار أو المنتج، وتستخدم لتحديد ما إذا كانت الصورة الناتجة تتطابق مع ما كان متوقعًا
  • أصبحت المزامنة بين الفرق والمؤسسات المختلفة ممكنة الآن
SDLC الآمن – السياسة والامتثال

  • لا توجد طريقة تلقائية أو مرنة للتأكد من اتباع سياسات SDLC الآمنة كما هو مطلوب.

  • طريقة موثوقة قائمة على الأدلة تضمن تطبيق سياسات SDLC الآمنة وفقًا لأحدث لوائح وأطر أمان سلسلة توريد البرامج (SLSA 3، SSDF)
كشف النزاهة والتلاعب

  • فقط ما يمكنك استخلاصه من السجلات وواجهات برمجة التطبيقات
  • لا يتم التوقيع حتى نهاية العملية – مباشرة قبل التسليم (يتعلق فقط بـ MITM "التأخر النهائي")

  • استمرار ضمان التعليمات البرمجية باستخدام التجزئة المستمرة للتعليمات البرمجية والتوقيع في كل مرحلة من مراحل عملية التطوير يسمح بالتحقق من أن القطعة الأثرية النهائية هي ما كان من المفترض أن تكون وأنه لم يتم إدراج أي تعليمات برمجية ضارة من قبل جهة فاعلة سيئة أثناء عمليات التطوير والتسليم.
وضوح

  • كل ما يمكنك استخلاصه من السجلات وواجهات برمجة التطبيقات
  • تم حفظه محليًا ولم يتم التوقيع عليه، مما يؤدي إلى احتمال تلاعب الجهات الفاعلة الضارة به

  • يتم حفظ الشهادات الموقعة في مخزن أدلة منفصل وآمن ومضاد للتلاعب
الموقف الأمني

  • التحقق من التكوينات الخاطئة لأدوات CI/CD
  • البحث عن الأسرار المسربة
  • التحقق من نقاط الضعف المعروفة (CVEs)

  • التحقق من وجود فجوات SDLC في سلسلة أدوات CI/CD الخاصة بك.
  • التحقق من نقاط الضعف المعروفة (CVEs) وسمعة مستودعات OSS
  • تسجيل شهادات عدم التزوير بأن الإجراءات الأمنية المطلوبة قد تم اتخاذها في الوقت المناسب في كل مرحلة من العملية وفقًا لسياسة SDLC الخاصة بالمنظمات.

Scribe Security - معيار جديد لأمن سلسلة توريد البرامج

يتكون ضمان الكود المستمر من العمليات والأدوات التي:

تتبع كل التفاصيل والحدث في عملية تطوير البرمجيات، بالإضافة إلى سلامة مكونات البرنامج وعناصره

التحقق من عدم حدوث أي تلاعب في أي وجميع أجزاء عملية تطوير البرمجيات

تحقق من سلامة أدوات CI/CD المستخدمة لإنشاء التعليمات البرمجية

التأكد من سلامة عملية التطوير - التأكد من تنفيذ الخطوات المتعلقة بالأمن وفقًا لسياسة المنظمة وعدم تجاوزها

من خلال جمع وتوقيع الأدلة على أي شيء وكل شيء يحدث للكود، في كل مرحلة من دورة حياة التطوير، فإنك تجعل من الصعب على المهاجمين التلاعب بالملفات أو الأدوات أو السلوك المتوقع لخط أنابيب CI/CD الخاص بك.

قراءة المزيد

كيف يمكن HELP؟

تضمن منصتنا الفريدة أن تكون عناصر التعليمات البرمجية آمنة من Git إلى الإنتاج طوال دورة حياة تطوير البرامج بأكملها، باستخدام مفاهيم وأطر الأمان الرائدة.

يعتمد عملاؤنا، المسؤولون عن تأمين إصدارات البرامج والبرامج المستخدمة، على Scribe للتأكد من أن برامجهم آمنة وجديرة بالثقة.

اتصل بنــا

ابق في المعرفة

الضمان المستمر وأمن سلسلة توريد البرمجيات | أمن الكاتب
الضمان المستمر: ممارسة متكاملة لأمن سلسلة توريد البرمجيات
قراءة المزيد
النسخة النهائية لـ SSDF
الإصدار النهائي SSDF (NIST 800-218) - الاختلافات عن المسودة وتأثيراتها عليك
قراءة المزيد
IconBurst صورة المادة
IconBust، هجوم NPM جديد
قراءة المزيد

أصبحت هجمات سلسلة توريد البرمجيات أكثر انتشارًا وتطورًا في السنوات الأخيرة. وفقا ل تقرير غارتنرومن المتوقع أن يتضاعف عدد هجمات سلسلة توريد البرمجيات ثلاث مرات بحلول عام 2025، مما يؤثر على ما يقرب من نصف جميع المؤسسات في جميع أنحاء العالم. ونتيجة لهذا التهديد المتزايد، أصبح تأمين جميع المكونات والأنشطة وممارسات SDLC أكثر أهمية من أي وقت مضى.

في حين أنه من الصعب منعه هجمات سلسلة توريد البرمجيات، فيما يلي بعض الأشياء التي يمكنك القيام بها للتخفيف من تأثيرها أو تقليل مخاطرها: قم بمراجعة البنية التحتية الخاصة بك، والاحتفاظ بمخزون محدث لجميع أصول البرامج الخاصة بك، وتقييم البائعين وتطبيق نهج الثقة المعدومة، واستخدام أدوات الأمان، وتأمين نقاط النهاية، الخ.

وفي حين لا توجد ضمانات في الحياة، ناهيك عن الأمن، فهي موجودة أفضل ممارسات أمن سلسلة توريد البرمجيات في مكانها الصحيح، والتي يتعين على المطورين ومؤسسات المنتجات اتباعها لتأمين سلسلة توريد البرامج الخاصة بهم. في المراحل المختلفة لدورة حياة برنامجك، يمكنك استخدام هذه الإرشادات لوصف وتقييم وقياس ممارسات الأمان داخل مؤسستك. يتم تطبيق أفضل الممارسات في كل مرحلة من مراحل سلسلة توريد البرامج، بما في ذلك الاستحواذ والتطوير والنشر.

ارتفاع في عدد مخاطر سلسلة توريد البرمجيات وتظهر سلسلة من الانتهاكات البارزة الناتجة عنها مدى خطورة مشكلة الضعف. هناك العديد من التهديدات التي تواجه سلسلة توريد البرامج والتي يمكن أن تشكلها برامج الطرف الثالث. من الممكن للمهاجمين استغلال نقاط الضعف في الأنظمة التي تعتمد على برامج الطرف الثالث بعدة طرق. من بين طرق الهجوم هذه إدخال تعليمات برمجية ضارة في البرامج، مما يتسبب في ارتباك التبعية وخطأ الكتابة.

عادةً ما تختبئ هجمات سلسلة التوريد خلف العمليات المشروعة للحصول على وصول غير مقيد إلى النظام البيئي لبرامج المؤسسة. في معظم الحالات، يبدأ المهاجمون باختراق الدفاعات الأمنية للبائع أو مورد البرنامج. بمجرد حقن البرنامج الضار لسلسلة التوريد، يجب أن يربط نفسه بعملية شرعية موقعة رقميًا. غالبًا ما يستخدم المهاجمون تحديثات البرامج لنشر البرامج الضارة عبر سلسلة توريد البرامج. بعض الشائع أنواع هجمات سلسلة توريد البرمجيات تتضمن: أدوات بناء البرامج المخترقة، وشهادات توقيع التعليمات البرمجية المسروقة أو التطبيقات الضارة الموقعة باستخدام هوية مسروقة، والتعليمات البرمجية المخترقة في مكونات الأجهزة أو البرامج الثابتة.

سبوم (فاتورة مواد البرمجيات)، عبارة عن مجموعة من المعلومات حول المكونات العديدة التي تشكل منتجًا برمجيًا أو تطبيقًا. وهي تحتوي عادةً على معلومات الترخيص وأرقام الإصدارات وتفاصيل المكونات والبائعين وما إلى ذلك. وتؤدي هذه القائمة التفصيلية والرسمية إلى تقليل المخاطر لكل من الشركة المصنعة والمستخدم من خلال السماح للآخرين بفهم محتويات برامجهم والتصرف وفقًا لذلك.

تسمح SBOMs برؤية مكونات المنتج، وتتيح فحص الثغرات الأمنية بشكل أسهل، وتستفيد من حوكمة الترخيص، ويمكن استخدامها لتحليل التهديدات التي تواجه النزاهة.

يهدف الضمان المستمر إلى تبديد النقطة العمياء في سلسلة توريد البرامج. وهو يتضمن جمع الأدلة الموقعة حول كل حدث في دورة حياة التطوير والذي قد يؤثر على أمان منتج البرنامج النهائي، بما في ذلك بناء المنتج ونشره. اليوم، تستخدم المؤسسات مجموعة متنوعة من أدوات الأمان لجعل منتجاتها البرمجية أكثر أمانًا. ومع ذلك، نادرًا ما يضعون سياسة للاستخدام المستمر لهذه الأدوات.

الضمان المستمر يضمن عدم العبث بمنتجات البرامج أثناء التطوير وإجراء الاختبارات المتعلقة بالأمان.

قد لا يتم اكتشاف التغييرات الطفيفة في التعليمات البرمجية لفترة طويلة. تثق فرق التطوير بمالك الكود إذا تم توقيع المنتج المعدل بشكل صحيح. ونتيجة لذلك، يمكن إنشاء حزم بها برامج ضارة وتعيينها لمشرفين مشهورين وموثوقين دون علمهم. قد تعني حالة الثقة في غير محلها وجود ثغرة أمنية إشكالية أو صريحة تعليمات برمجية ضارة مخبأة في التعليمات البرمجية الخاصة بك.

ومن الشائع أيضًا أن يقوم المطورون بنسخ ولصق التعليمات البرمجية من المكتبات الموجودة أو StackOverflow لاستخدامها في التعليمات البرمجية الخاصة بهم أو لتحميلها إلى مكتبات جديدة. وهذا يزيد من فرص نسخ التعليمات البرمجية غير الآمنة والضعيفة والتي أصبحت الآن غير قابلة للتتبع بشكل أساسي. 

النسخة النهائية من نيست SSDF 1.1 (إطار تطوير البرمجيات الآمنة) تم إصداره في 22 مارس. وفي سبتمبر 2021، تم نشر مسودة نسخة من الإطار. تتمحور العديد من الاختلافات حول الأمثلة المختلفة المقدمة بدلاً من الممارسات والمهام عالية المستوى.

عند تحديد الممارسات التي يجب تنفيذها، يوصي المعهد الوطني للمعايير والتكنولوجيا (NIST) بموازنة المخاطر مقابل التكلفة والجدوى وقابلية التطبيق. لضمان أمان البرنامج، تعد أتمتة أكبر عدد ممكن من عمليات الفحص والعمليات ميزة أساسية يجب أخذها في الاعتبار.

يعد بناء الثقة في برنامجك مهمة مهمة، خاصة في ضوء المعايير الجديدة وأفضل الممارسات، مثل SSDF وSLSA. وسرعان ما لن يتمكن البائعون الذين لا يستطيعون إثبات هذه الثقة من البيع للحكومة الفيدرالية الأمريكية.

لبناء الثقة، ستحتاج إلى الاحتفاظ بـ SBOM لمنتجاتك ومشاركتها مع أصحاب المصلحة بالإضافة إلى الأدلة حول تطويرها وبنائها الآمنين.

منصة الكاتب، وهو حل أمني لسلسلة توريد البرامج الشاملة، يوفر لك هذه الإمكانية. إنه يطبق ضمانًا مستمرًا للكود عبر SDLC بأسلوب الثقة المعدومة ويقوم تلقائيًا بإنشاء SBOMS قابل للمشاركة حتى تتمكن من الحصول على رؤى حول نقاط الضعف والتلاعب بالأكواد.

يجب مراقبة خطوط الأنابيب الديناميكية بشكل مستمر من أجل الأمان. في إطار عمل الأمن السيبراني SLSA (مستويات سلسلة التوريد للبرامجيات)، تم تحديد أربعة مستويات من الحماية لسلاسل التوريد للبرمجيات، إلى جانب إرشادات حول كيفية الوصول إلى كل مستوى.

أنت بحاجة إلى اتباع أفضل الممارسات لتنفيذ الأتمتة، باستخدام أدوات مفتوحة المصدر مثل Sigstore وOPA، على سبيل المثال لا الحصر.