सतत आश्वासन: सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए एक अभिन्न अभ्यास

इस नए एनआईएसटी एसपी 800-218 दिशानिर्देशों की जांच करने वाले लेखों की श्रृंखला में दूसरा है। पहला लेख मिल सकता है यहाँ उत्पन्न करें.

सतत आश्वासन:
सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए एक अभिन्न अभ्यास

जैसा कि हमने अपने पिछले लेख में चर्चा की थी, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) द्वारा स्थापित दिशानिर्देश संयुक्त राज्य सरकार को सॉफ्टवेयर उत्पादों और सेवाओं की आपूर्ति के तरीके में नाटकीय रूप से बदलाव लाएंगे। 

विशेष रूप से, एनआईएसटी एसपी 800-218 उच्च-स्तरीय सुरक्षित सॉफ़्टवेयर विकास प्रथाओं का एक सेट स्थापित करता है जिन्हें प्रत्येक सॉफ़्टवेयर विकास जीवन चक्र (एसडीएलसी) में एकीकृत किया जाना है। संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में इन प्रथाओं को शामिल करने से न केवल अमेरिकी सरकार, बल्कि अंततः उद्योगों और दुनिया भर में डिलीवरी के लिए अधिक सुरक्षित उत्पादों और सेवाओं को बढ़ावा मिलने की उम्मीद है। 

इस लेख में, हम इन नई आवश्यकताओं को पूरा करने में सतत आश्वासन (सीए) की महत्वपूर्ण भूमिका को देखते हैं। 

अवलोकन: सतत आश्वासन क्या है, और यह कैसे काम करता है? 

CA एक अवधारणा और विकसित हो रहे समाधानों का एक सेट है, जो DevOps अनुशासन की सतत एकीकरण, विकास और परीक्षण की पहले से ही परिचित अवधारणाओं का पूरक है। सीए उत्पाद निर्माण और परिनियोजन सहित विकास जीवन चक्र की सभी घटनाओं के बारे में विस्तृत रूप से साक्ष्य एकत्र करता है जो अंततः सॉफ्टवेयर उत्पाद की सुरक्षा को प्रभावित कर सकता है। यह सॉफ़्टवेयर उपभोक्ताओं (जैसे उपयोगकर्ता, खरीदार और अन्य जोखिम हितधारक) के लिए उनके द्वारा उपयोग किए जाने वाले उत्पादों से होने वाले जोखिम को नियंत्रित करने का एक साधन है। 

आज, उद्यम अपने द्वारा विकसित सॉफ़्टवेयर उत्पादों की सुरक्षा में सुधार करने के लिए असंख्य सुरक्षा उपकरण लागू करते हैं। हालाँकि, वे इन उपकरणों के निरंतर उपयोग के लिए मानक निर्धारित करने के लिए शायद ही कभी समग्र नीति का उपयोग करते हैं। इसके अलावा, यदि सॉफ़्टवेयर उत्पादों के उपभोक्ता किसी अन्य संगठन से हैं, तो उनके पास अपने जोखिम के लिए बार निर्धारित करने के लिए आवश्यक कोई भी जानकारी या उपकरण नहीं है। संक्षेप में, यह सॉफ़्टवेयर आपूर्ति श्रृंखला का अंध स्थान है जिसे सीए दूर करना चाहता है। 

सीए का तत्काल परिणाम यह आश्वस्त करने का एक साधन है कि सॉफ्टवेयर उत्पादों के साथ छेड़छाड़ नहीं की गई थी और विकास के दौरान महत्वपूर्ण सुरक्षा-संबंधी परीक्षण किए गए थे, लेकिन इससे बहुत कुछ हासिल किया जा सकता है।

प्रतिबंधित देशों जैसे संदिग्ध मूल के घटकों के हमलावरों या विक्रेताओं द्वारा की गई छेड़छाड़ को विफल करने के लिए, सीए एकत्रित साक्ष्य को क्रिप्टोग्राफ़िक रूप से जानकारी पर हस्ताक्षर करके और इसे एक अपरिवर्तनीय स्टोर में संग्रहीत करके छेड़छाड़-प्रतिरोधी सत्यापन में बदल देता है। एक पृथक सुरक्षित वातावरण. 

एकत्रित साक्ष्य को मशीन-पठनीय बनाकर, एक नीति इंजन प्रत्येक उत्पाद संस्करण या अद्यतन के लिए जोखिम हितधारक द्वारा निर्धारित मानदंडों या नियमों को लगातार मान्य कर सकता है। इस तरह, हितधारकों को किसी उत्पाद के सुरक्षा मानकों के अनुपालन के बारे में आश्वस्त किया जा सकता है। 

वैचारिक रूप से, सीए पद्धति का उपयोग करने से उत्पाद की गुणवत्ता में भी सुधार होता है। किसी विशेष उत्पाद की पाइपलाइनों के लिए एक केंद्रीय नीति के साथ कोड समीक्षा और सुरक्षा परीक्षण के लिए आधारभूत मानक को नियंत्रित करके, व्यवस्थित प्रक्रियाओं में विसंगतियों और तदर्थ परिवर्तनों को समाप्त किया जाएगा।

निरंतर क्यों?

विकास प्रक्रिया में सुरक्षा कॉन्फ़िगरेशन कोई नई बात नहीं है। उदाहरण के लिए, आप पहले ही स्थापित कर चुके होंगे कि भेद्यता स्कैनिंग के बिना कोई भी बाइनरी उत्पादन में नहीं जाएगी। 

आज, सॉफ़्टवेयर वितरण चक्र छोटा और छोटा होता जा रहा है। परिणामस्वरूप, कोने काटे जा सकते हैं। कोड समीक्षा छोड़ी जा सकती है, या सुरक्षा परीक्षण या महत्वपूर्ण प्रक्रियाएँ निष्पादित नहीं की जा सकती हैं। इसके अलावा, नए सीवीई और कारनामे हर समय रिपोर्ट किए जाते हैं और नए घटक संस्करण लगातार प्रकाशित होते रहते हैं। 

इन सभी कारकों ने संयुक्त रूप से यह अनिवार्य कर दिया है कि हम निर्धारित सुरक्षा मानक के विरुद्ध घटकों का लगातार परीक्षण करते रहें ताकि यह सत्यापित किया जा सके कि उपयोग की गई प्रक्रियाएं अभी भी सुरक्षा नीति के अनुरूप हैं। 

सुरक्षा नीतियां जोखिम धारक द्वारा निर्धारित की जाती हैं। यहां नीति नियमों के कुछ उदाहरण दिए गए हैं जिनका उपयोग किया जा सकता है: 

• केवल अनुमोदित सूची से ओपन-सोर्स पैकेजों के उपयोग की अनुमति दें
• प्रत्येक पुल अनुरोध के लिए दो समीक्षकों की आवश्यकता है।
• सत्यापित करें कि अंतिम आर्टिफैक्ट में सभी मालिकाना घटकों को स्रोत नियंत्रण रिपो पर वापस खोजा जा सकता है।

सॉफ़्टवेयर सुरक्षा बार को ऊपर उठाना

सॉफ़्टवेयर आपूर्ति श्रृंखला हमले सॉफ़्टवेयर घटकों के अपेक्षित व्यवहार को बदल देते हैं। आज ये हमले सॉफ़्टवेयर उपभोक्ताओं और उत्पादकों दोनों की सॉफ़्टवेयर घटकों की अखंडता को सत्यापित करने की क्षमता की कमी पर निर्भर करते हैं। 

हालाँकि, विकास जीवन चक्र के हर हिस्से से साक्ष्य पर हस्ताक्षर करने से - ओपन-सोर्स निर्भरता से लेकर अंतिम उत्पाद तक - और लगातार इस साक्ष्य की अपेक्षा के साथ तुलना करने से, हमलावरों को फ़ाइलों, उपकरणों या के साथ छेड़छाड़ करने का प्रयास करते समय अधिक कठिनाई का सामना करना पड़ेगा। आपकी सीआई/सीडी पाइपलाइन का अपेक्षित व्यवहार।     

साक्ष्य एकत्रित करना: उदाहरण और सिफ़ारिशें

यहां साक्ष्य के कुछ उदाहरण दिए गए हैं जिन्हें एसडीएलसी के साथ एकत्र किया जा सकता है:

और यहां उन नीतियों के प्रकार दिए गए हैं जिनका उपयोग इस साक्ष्य का उपयोग करके किया जा सकता है:

सतत कोड आश्वासन का भविष्य

फरवरी 2022 में सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ), एनआईएसटी का सुझाव है कि विकास प्रक्रिया में सुरक्षा उपकरणों का कार्यान्वयन स्वचालन पर महत्वपूर्ण रूप से निर्भर होना चाहिए। सतत आश्वासन के प्रति हमारा दृष्टिकोण इस अनुशंसा के अनुरूप है। 

भले ही आप आश्वस्त हों कि सभी सुरक्षा कदम और सुरक्षा उपाय सही ढंग से कॉन्फ़िगर किए गए थे, फिर भी आपको ग्राहकों और आपूर्तिकर्ताओं को आश्वस्त करने के साधन प्रदान करने होंगे कि आपकी सुरक्षा नीति लगातार और लगातार लागू की गई है। सभी हितधारकों, सॉफ्टवेयर उत्पादकों (डेवलपर्स या विक्रेताओं), और उपभोक्ताओं (उपयोगकर्ताओं या खरीदारों) को सॉफ्टवेयर आपूर्ति श्रृंखला में प्रत्येक लिंक से साक्ष्य की लगातार और स्वचालित रूप से जांच और सत्यापन करने में सक्षम होना चाहिए ताकि यह सुनिश्चित हो सके कि उनके स्वयं के सुरक्षा मानदंड पूरे हो गए हैं। 

सॉफ़्टवेयर आपूर्ति श्रृंखला में विश्वास अभी कम है, और यह सभी हितधारकों के लिए चिंता का एक निरंतर स्रोत है। लागू किए गए सुरक्षा उपायों की दृश्यता बढ़ाना और सतत कोड आश्वासन के साक्ष्य प्रदान करना सॉफ्टवेयर आपूर्ति श्रृंखला में विश्वास के पुनर्निर्माण और सत्यापन योग्य रूप से अधिक सुरक्षित उत्पादों का उत्पादन करने के लिए अभिन्न अंग हैं।