अराजकता से स्पष्टता तक: सत्यापन के साथ अपनी आपूर्ति श्रृंखला को कैसे सुरक्षित करें

जैसे-जैसे हर कोई उत्तरोत्तर अधिक जागरूक होता जा रहा है, आपके सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की सुरक्षा करना प्रत्येक संगठन की साइबर सुरक्षा रणनीति का एक महत्वपूर्ण हिस्सा होना चाहिए।
सॉफ़्टवेयर आपूर्ति श्रृंखला के खतरों को कम करने के लिए एक व्यापक रणनीति बनाने में मुख्य कठिनाइयों में से एक आपूर्ति श्रृंखला की जटिलता और विविधता है। प्रत्येक आपूर्ति श्रृंखला अद्वितीय है, और इसमें शामिल तत्व लगातार बदल रहे हैं, जिससे आपकी अपनी आपूर्ति श्रृंखला पर भरोसा करना मुश्किल हो जाता है, इसके द्वारा उत्पादित सॉफ़्टवेयर की तो बात ही छोड़ दें।
इस लेख में, हम एक सतत अनुपालन मंच का वर्णन करेंगे जो सॉफ्टवेयर उपभोक्ताओं और निर्माताओं को एसडीएलसी को सुरक्षित करने, सुरक्षा सर्वोत्तम प्रथाओं को बढ़ावा देने, नियामक आवश्यकताओं को पूरा करने और कम करने के लिए पारदर्शी रूप से विश्वास और अनुपालन प्रदर्शित करने में सक्षम बनाता है। साइबर जोखिम का उपयोग aपरीक्षण स्टेशन.
हमारे प्रस्तावित मॉडल में सेट ब्लॉक शामिल हैं जिन्हें आसानी से बढ़ाया जा सकता है और आपके पसंदीदा प्लेटफ़ॉर्म या उपयोग के मामलों की परवाह किए बिना आपके स्टैक में एकीकृत किया जा सकता है। हम एक बुनियादी सत्यापन नीति का उपयोग करके प्रदर्शन समाप्त करेंगे स्क्राइब का वैलेंट टूल यह दिखाने के लिए कि यह प्रक्रिया उतनी जटिल नहीं है जितना आपको पहले डर लग सकता है। 

आपूर्ति श्रृंखला अराजकता सिद्धांत

आपूर्ति श्रृंखलाओं को सुरक्षित करने में मुख्य चुनौतियों में से एक इसमें शामिल प्रणालियों की अत्यधिक जटिलता है। आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला में आपके अंतिम उत्पाद के निर्माण में शामिल सॉफ़्टवेयर का हर टुकड़ा शामिल होता है, या तो पर्यावरण के हिस्से के रूप में या आपके कोड बेस में एकीकृत सॉफ़्टवेयर के एक टुकड़े के रूप में। आप इस विवरण से बता सकते हैं कि ये आपूर्ति शृंखलाएं विशाल हैं और इसमें डेवलपर द्वारा संकलन, परीक्षण, एकीकरण के माध्यम से कोड लिखना शुरू करने के क्षण से लेकर उस बिंदु तक सब कुछ शामिल है जहां अंतिम उत्पाद चल रहा है और प्रत्येक टुकड़े को शामिल कर रहा है। रास्ते में उपयोग किए जाने वाले सॉफ़्टवेयर और लाइब्रेरी।

ऐसी प्रणालियों के लिए सुरक्षा मॉडल को परिभाषित करने के लिए प्रोग्रामिंग की विशाल श्रृंखला को समझने की आवश्यकता होती है भाषाएँ, पैकेज प्रबंधक, उत्पाद, प्रौद्योगिकी स्टैक, सीआई सेवाएँ, क्लाउड प्रदाता, निर्भरता आयात, वीएम, ऑपरेटिंग सिस्टम और अन्य घटक जो किसी दिए गए आपूर्ति श्रृंखला में शामिल किए जा सकते हैं। ऐसे सिस्टम के भीतर जोखिम में पड़ने वाली परिसंपत्तियों की विस्तृत श्रृंखला पर विचार करना आवश्यक है, जिसमें एप्लिकेशन, टोकन, कुंजी और एक्सेस अनुमतियों के अन्य रूप शामिल हैं।

नीति सत्यापन मॉडल का अवलोकन 

हमारे प्रस्तावित मॉडल में कई बिल्डिंग ब्लॉक शामिल हैं जो आपूर्ति श्रृंखला की सुरक्षा और अनुपालन सुनिश्चित करने के लिए एक साथ काम करते हैं. सॉफ़्टवेयर सुरक्षा पहलुओं को लगातार सत्यापित करने और सॉफ़्टवेयर आपूर्ति श्रृंखला विनियमन के अनुपालन के लिए इन बिल्डिंग ब्लॉक्स की आवश्यकता होती है।

• सबूत: अपरिवर्तनीय वस्तुएं जिनका नीतियों द्वारा स्वचालित रूप से उपभोग करने का इरादा है। इन ऑब्जेक्ट में नीति प्रवर्तन को सक्षम करने और अनुपालन आवश्यकताओं को पूरा करने के लिए आवश्यक मेटाडेटा शामिल है। साक्ष्य सामग्री में कलाकृतियों, घटनाओं और सेटिंग्स के बारे में मेटाडेटा शामिल है, लेकिन यह वास्तविक रिपोर्ट, कॉन्फ़िगरेशन या स्कैन भी एकत्र कर सकता है।
  सबूत हस्ताक्षरित और अहस्ताक्षरित दोनों रूपों में आ सकता है। हम i का अनुसरण करने का सुझाव देते हैंएन-टोटो सत्यापन विशिष्टता हस्ताक्षरित का उपयोग करना साक्षी और अहस्ताक्षरित कथन प्रारूप, क्रमशः।
  • सत्यापन (AKA सत्यापन योग्य हस्ताक्षरित साक्ष्य): किसी विशिष्ट से जुड़े सत्यापन योग्य साक्ष्य पर्यावरणीय संदर्भ, पीकेआई हस्ताक्षरों के कुछ रूपों का उपयोग करके विश्वास व्यक्त करना। 
• पर्यावरणीय संदर्भ: प्रासंगिक जानकारी मॉडल को एक साथ जोड़ती है।
  यह इस प्रश्न का उत्तर देता है कि साक्ष्य कहां से आते हैं और इसमें क्या जानकारी है। यह महत्वपूर्ण है कि संदर्भ साक्ष्य का हिस्सा बनने के बजाय उससे जुड़ा हो, क्योंकि आपके पास एक ही संदर्भ से जुड़े साक्ष्य के कई टुकड़े हो सकते हैं और यह मॉडल आसान, अधिक कुशल, खोज और साक्ष्य की पुनर्प्राप्ति की अनुमति देता है।
  बुनियादी शब्दों में, पर्यावरणीय संदर्भ एक लेबलिंग प्रणाली है जहां अधिकांश लेबल पर्यावरण, मंच या कलाकृतियों से पढ़े जाते हैं। लेबल आपकी विकास प्रक्रिया और सीआई/सीडी पाइपलाइन की कई प्रक्रियाओं तक सामान्यीकृत पहुंच प्रदान करते हैं। साक्ष्य की उत्पत्ति से संबंधित पहलू जैसे गिट रिपॉजिटरी, टैग और कमिट, बल्कि वर्कफ़्लो नाम, नौकरी के नाम, रनआईडी इत्यादि भी। पर्यावरणीय संदर्भ में विषय के पहलू भी शामिल हो सकते हैं, जैसे आर्टिफैक्ट हैश, नाम और टैग।
  प्रसंग को इन-टोटो के विस्तार के रूप में देखा जा सकता है सत्यापन विशिष्टता, हस्ताक्षरित पेलोड में एकीकृत। लेबलिंग प्रणाली का उपयोग करके, हम नीति मूल्यांकन चरण को कई पहलुओं में लेबल द्वारा साक्ष्य को क्वेरी करने का एक तरीका प्रदान कर सकते हैं। इसके अलावा, संदर्भ डेटा का उपयोग नीति मूल्यांकन प्रक्रिया के हिस्से के रूप में किया जा सकता है, जो साक्ष्य में "स्थितिजन्य जागरूकता" जोड़ता है।

• नीतियां: उपयोगकर्ता द्वारा कॉन्फ़िगर किए गए नीति मॉड्यूल का एक सेट जो आवश्यक अनुपालन रिपोर्ट को परिभाषित करता है। नीतियां आपके निर्माण पाइपलाइन या आपकी विकास प्रक्रिया में शामिल विभिन्न प्रकार के उत्पादों या प्रणालियों के लिए न्यूनतम सुरक्षा मानकों या अनुपालन के आवश्यक स्तरों को निर्दिष्ट कर सकती हैं। सबसे महत्वपूर्ण बात यह है कि परिणामी नीति मूल्यांकन अनुपालन रिपोर्ट बनाते हैं जो हैं सत्यापन भी। यह हमें न केवल अनुपालन रिपोर्टों को प्रबंधित करने की अनुमति देता है - उदाहरण के लिए, हितधारकों के सामने आपकी अनुपालन स्थिति को उजागर करना - बल्कि अधिक जटिल नीतियों के लिए अनुपालन रिपोर्ट का उपयोग भी करता है जो किसी संगठन के लिए अनुपालन विनियमन के बड़े दायरे को समाहित कर सकता है। नीतियों को समूहीकृत किया जा सकता है नीति मॉड्यूल. ये प्लगइन्स हैं जो नीति नियमों के सेट को लागू करते हैं जो कुछ विशेषताओं (सॉफ्टवेयर मॉड्यूल के समान) को साझा करते हैं। ये प्लगइन्स पॉलिसी प्रदाताओं द्वारा प्रदान किए जाते हैं (उस पर बाद में अधिक जानकारी)।
  नीति मॉड्यूल का मूल्यांकन परिणाम प्रदान करता है जिसमें मूल्यांकन, अनुपालन विवरण और प्रश्न में सुरक्षा विनियमन का संदर्भ देने वाले फैसले शामिल होते हैं। इसके अलावा, परिणामों में अनुपालन के लिए मूल्यांकन किए गए साक्ष्य मॉड्यूल को पीछे करने के लिए आवश्यक साक्ष्य का इतिहास निशान शामिल है।
• स्टोर: साक्ष्य के लिए होस्टिंग, अपलोड/डाउनलोड और पूछताछ क्षमताएं प्रदान करने वाली सेवाएं (इस पर बाद में अधिक जानकारी)। उनका उपयोग छवि रजिस्ट्रियों (भंडारण के रूप में ओसीआई), समर्पित सेवाओं (यानी, स्क्राइब सेवा), या बस स्थानीय फ़ाइल सिस्टम पर किया जा सकता है।
• पॉलिसी प्रदाता: ये नीति मॉड्यूल पर हस्ताक्षर करने और प्रदान करने के लिए जिम्मेदार संस्थाएं (कंपनियां, संगठन) हैं। एक प्रकार के सत्यापन के रूप में नीतियां प्रदान करके, प्रदाता स्वयं नीति में विश्वास और पारदर्शिता व्यक्त करते हैं। उदाहरण के लिए, एक ओपीए बंडल सत्यापन नियामकों को नीति मॉड्यूल लागू करने वाले आधिकारिक ओपीए बंडलों को प्रकाशित करने और हस्ताक्षर करने के लिए सशक्त बना सकता है।

इन बिल्डिंग ब्लॉक्स का उपयोग करके, हमारा मॉडल संगठनों को उनकी निर्माण पाइपलाइनों और विकास जीवनचक्र की सुरक्षा और अनुपालन को सापेक्ष आसानी से सत्यापित करने में सक्षम बनाता है।

यह कैसे काम करता है 

इस वर्कफ़्लो का प्रारंभिक बिंदु एक डेवलपर या सिस्टम है, जो किसी सॉफ़्टवेयर उत्पाद या घटक के लिए साक्ष्य तैयार करता है। साक्ष्य सामग्री, साथ ही प्रासंगिक जानकारी, विषय और हस्ताक्षर, एकत्र किए जाते हैं और एक साक्ष्य भंडार में अपलोड किए जाते हैं।

दूसरी ओर, संगठनात्मक आवश्यकताओं और अपेक्षाओं के अनुरूप नीतियों का मूल्यांकन करके अनुपालन रिपोर्ट बनाई जाती है।

प्रासंगिक जानकारी का उपयोग करते हुए, नीति मूल्यांकन आपकी आपूर्ति श्रृंखला द्वारा उत्पादित साक्ष्यों पर सवाल उठा सकते हैं और यह सुनिश्चित कर सकते हैं कि उनमें वे सभी जानकारी शामिल हैं जिनकी विनियमन को आवश्यकता हो सकती है.

एक अतिरिक्त लाभ के रूप में, नीतियां और अनुपालन रिपोर्ट स्वयं साक्ष्य के रूप में सुलभ हैं, पारदर्शिता और विश्वास के साथ-साथ इसमें शामिल सभी साक्ष्यों का इतिहास भी प्रदान करती हैं। यह संगठनों को अनुपालन रिपोर्टों को प्रबंधित करने के साथ-साथ सॉफ़्टवेयर उपभोक्ताओं पर विश्वास व्यक्त करने के लिए विश्वसनीय सत्यापन के रूप में उपयोग करने की भी अनुमति देता है.

इस प्रवाह का उपयोग करके, संगठन और हितधारक जोखिम को कम कर सकते हैं, पारदर्शिता प्रदान कर सकते हैं और अपनी आपूर्ति श्रृंखला के भीतर अनुपालन सुनिश्चित कर सकते हैं, अराजकता के प्रभाव को कम कर सकते हैं और अपने उत्पादों में समग्र सुरक्षा और विश्वास में सुधार कर सकते हैं।

नीति मूल्यांकन
RSI मूल्यांकन किसी नीति का निर्धारण नीति मॉड्यूल के एक सेट का सत्यापन करके किया जाता है, जिनमें से प्रत्येक विशिष्ट नियमों और अनुपालन आवश्यकताओं को कायम रखता है।

एक नीति मूल्यांकन प्रत्येक मॉड्यूल से दो सरल प्रश्न पूछता है:

• मॉड्यूल के अनुपालन के लिए कौन से साक्ष्य की आवश्यकता है?

• अनुपालन साबित करने के लिए साक्ष्य के मानदंड क्या हैं?

उदाहरण के लिए, के संदर्भ में एसएलएसए (सॉफ्टवेयर कलाकृतियों के लिए आपूर्ति श्रृंखला स्तर) ढांचा, नीति मॉड्यूल निर्दिष्ट कर सकते हैं कि सुरक्षा आवश्यकताओं का अनुपालन करने के लिए हस्ताक्षरित एसएलएसए उद्गम साक्ष्य और बिल्ड पाइपलाइन के लिए सुरक्षा मुद्रा स्कैन दोनों आवश्यक हैं। इन मॉड्यूल द्वारा प्रदान किए गए साक्ष्य को यह सुनिश्चित करने के लिए सत्यापित किया जाएगा कि यह सभी एसएलएसए आवश्यकताओं को पूरा करता है।

1. एसएलएसए आवश्यकताओं का अनुपालन करने के लिए कौन से साक्ष्य की आवश्यकता है?
   • बिल्ड आर्टिफैक्ट का एक एसएलएसए उद्गम सत्यापन (हस्ताक्षरित साक्ष्य)।
   • कलाकृतियों का निर्माण करने वाली सीआई पाइपलाइन का सुरक्षा मुद्रा स्कैन।
2. एसएलएसए आवश्यकताओं के अनुपालन को साबित करने के लिए साक्ष्य के मानदंड क्या हैं?
   • साक्ष्य के दोनों टुकड़ों में ऐसी जानकारी शामिल होनी चाहिए जो एसएलएसए की सभी आवश्यकताओं को पूरा करती हो।
     इस उदाहरण के लिए, एसएलएसए उद्गम सत्यापन को आपकी छवि निर्माण प्रक्रिया का संपूर्ण वर्णन करने की आवश्यकता है, जबकि सुरक्षा स्थिति सत्यापन को यह सत्यापित करने की आवश्यकता है कि छवि के स्रोत को संग्रहीत करने वाला एससीएम शाखा सुरक्षा नियमों का उपयोग करता है।

नीति मॉड्यूल का एक अन्य उदाहरण है विरूपण साक्ष्य मॉड्यूल सत्यापित करें, जो निर्दिष्ट करता है कि कुछ कलाकृतियों पर किसी विश्वसनीय स्रोत द्वारा हस्ताक्षर किए जाने चाहिए। सत्यापन का उपयोग (सत्यापन योग्य हस्ताक्षरित साक्ष्य) पीकेआई (पब्लिक की इन्फ्रास्ट्रक्चर) हस्ताक्षर, कुछ विशिष्ट व्यक्ति/इकाई की आवश्यकता का अनुपालन करने के लिए जिसे कलाकृतियों पर हस्ताक्षर करने की आवश्यकता होती है और साथ ही कलाकृतियों की उत्पत्ति कहां से हुई है, इसके संदर्भ को प्रमाणित करना होता है।
RSI विरूपण साक्ष्य मॉड्यूल सत्यापित करें निम्नलिखित प्रश्नों के उत्तर दें:

1. सुरक्षा आवश्यकताओं के अनुपालन को प्रदर्शित करने के लिए कौन से साक्ष्य की आवश्यकता है?

• एक कलाकृति का वर्णन करने वाला साक्ष्य जिसमें पीकेआई हस्ताक्षर (सत्यापन) शामिल है।

2. अनुपालन सुनिश्चित करने के लिए इस साक्ष्य को कैसे सत्यापित किया जा सकता है?

• सत्यापन PKI हस्ताक्षर मान्य है.
• पीकेआई प्रमाणपत्र पहचान उपयोगकर्ता की आवश्यकताओं से मेल खाती है।
• साक्ष्य का विषय उपयोगकर्ता की आवश्यकताओं से मेल खाता है।
• प्रारूप और मूल उपयोगकर्ता की आवश्यकताओं से मेल खाते हैं।

थ्योरी से प्रैक्टिस तक 

आइए इस मॉडल के कार्यान्वयन के बारे में गहराई से जानें जो वर्तमान में वैलेंट टूल द्वारा समर्थित है।

आइए एक नीति का एक सरल उदाहरण देखें जो निर्दिष्ट करता है कि किसी छवि के हस्ताक्षर और मूल को कैसे सत्यापित किया जाए।

विशेष रूप से, हमें यह सत्यापित करने की आवश्यकता है कि साक्ष्य निम्नलिखित मानदंडों को पूरा करते हैं:

• साक्ष्य प्रकार CycloneDX SBOM सत्यापन है जो एक छवि का वर्णन करता है।
• कलाकृति पर हस्ताक्षर हैं mycompany.com.
• छवि सर्कल-सीआई वर्कफ़्लो द्वारा ट्रिगर से उत्पन्न होती है my_image_src रेपो।

टेम्पलेट नीति
पिछले उदाहरण में, नीति स्थिर थी और केवल नामित विशिष्ट छवि के लिए जाँच की गई थी मेरीकंपनी/मेरी_छवि. हालाँकि, ऐसी नीतियाँ रखना अक्सर बेहतर होता है जो टेम्पलेट/परिवर्तनीय क्षमताओं का समर्थन करती हों। यह आपको उन आवश्यकताओं को परिभाषित करने की अनुमति देता है जिन्हें आपके सीआई/सीडी बिल्ड पाइपलाइन में कई समान प्रक्रियाओं या कलाकृतियों पर लागू किया जा सकता है।

पॉलिसी को टेम्प्लेट करने के लिए, आप पॉलिसी को किसी उत्पाद पर स्थिर रूप से लॉक करने के बजाय एक वेरिएबल का उपयोग कर सकते हैं। उपरोक्त उदाहरण में, आप इसे बदल सकते हैं विरूपण साक्ष्य_नाम का मान `$MY_IMAGE`इसके बजाय, मूल्यांकनकर्ताओं को समान अनुपालन नियमों की आवश्यकता वाली कई छवियों के लिए एक नीति को कॉन्फ़िगर करने की अनुमति मिलती है।

इंतजार कर रही

At मुंशीहमारा अंतिम लक्ष्य एक सत्यापन योग्य अनुपालन मॉडल के माध्यम से आपूर्ति श्रृंखला में जोखिमों को कम करना है जो साक्ष्य-संचालित है। इस मॉडल को आज़माने के लिए सबसे पहले स्थानों में से एक आपकी सीआई/सीडी बिल्ड पाइपलाइन है। हमारा मानना ​​है कि यह साक्ष्य-सत्यापन दृष्टिकोण आपूर्ति श्रृंखला में पारदर्शिता और जवाबदेही सुनिश्चित करने की कुंजी है, जिसमें शामिल सभी हितधारकों को लाभ होगा। हमारा मॉडल सॉफ़्टवेयर आपूर्ति श्रृंखला समुदाय में उभरते कई विचारों को समाहित करता है, उनमें से कई के बीच संबंधों को परिभाषित करता है। हम सॉफ़्टवेयर आपूर्ति श्रृंखला पारदर्शिता में नवाचार और सुधार करने के लिए प्रतिबद्ध हैं। यदि इस मॉडल ने आपकी रुचि जगाई है, तो मैं आपको हमारी जाँच करने के लिए प्रोत्साहित करता हूँ वैलेंट सीएलआई दस्तावेज़ीकरण जहां हम टूल की क्षमताओं और उपयोगों का विस्तार करते हैं। इसे ट्राय करने के लिए स्वतंत्र महसूस करें।

संबंधित पोस्ट

सॉफ़्टवेयर निर्माताओं को दायित्व से सुरक्षित आश्रय प्रदान करना

मार्च 2023 को व्हाइट हाउस ने एक नई राष्ट्रीय साइबर सुरक्षा रणनीति जारी की। रणनीति उन 5 स्तंभों की एक सूची की रूपरेखा तैयार करती है जिन्हें व्हाइट हाउस सार्वजनिक और निजी दोनों क्षेत्रों में सभी अमेरिकियों के लिए साइबर सुरक्षा में सुधार के लिए महत्वपूर्ण मानता है। तीसरा स्तंभ सुरक्षा और लचीलेपन में सुधार के लिए बाजार की शक्तियों को आकार देने के अभियान से संबंधित है। उसका एक हिस्सा […]

सॉफ़्टवेयर पर हस्ताक्षर करने और सत्यापन करने के महत्व को समझाने के लिए 3CX डेस्कटॉप ऐप अटैक का उपयोग करना

मार्च 2023 के अंत में, सुरक्षा शोधकर्ताओं ने 3CX, मुख्य रूप से कंपनी के वॉयस और वीडियो-कॉलिंग डेस्कटॉप ऐप से व्यावसायिक संचार सॉफ़्टवेयर पर एक खतरनाक अभिनेता के जटिल सॉफ़्टवेयर आपूर्ति श्रृंखला हमले का पर्दाफाश किया। शोधकर्ताओं ने चेतावनी दी कि ऐप को किसी तरह ट्रोजनाइज़ किया गया था और इसका उपयोग करने से संगठन किसी ख़तरे वाले अभिनेता द्वारा संभावित घुसपैठ योजना के संपर्क में आ सकता है। […]

कलाकृतियों की संरचना (जीयूएसी) को समझने के लिए ग्राफ़: मुख्य विशेषताएं

सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के सामने आने वाले जोखिमों ने साइबर सुरक्षा पारिस्थितिकी तंत्र में बातचीत में सबसे आगे अपना स्थान ले लिया है। यह आंशिक रूप से इन आपूर्ति श्रृंखला हमलों की बढ़ती आवृत्ति के कारण है, लेकिन जब ऐसा होता है तो उनके संभावित दूरगामी प्रभाव भी होते हैं। 2021 के आंकड़े सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को दर्शाते हैं […]