जिन जोखिमों का सामना करना पड़ा सॉफ्टवेयर आपूर्ति श्रृंखला साइबर सुरक्षा पारिस्थितिकी तंत्र में बातचीत में सबसे आगे अपना स्थान ले लिया है। यह आंशिक रूप से इनकी बढ़ी हुई आवृत्ति के कारण है आपूर्ति श्रृंखला हमले, लेकिन जब वे घटित होते हैं तो उनके संभावित दूरगामी प्रभावों के कारण भी।
2021 के आंकड़े सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को दर्शाते हैं आवृत्ति में तीन गुना पिछले वर्ष से, एक प्रवृत्ति जिसके भविष्य में धीमा होने की संभावना नहीं है। सौभाग्य से, सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों के जोखिम के बारे में बढ़ती जागरूकता संभावित लाभकारी कार्यों की एक विस्तृत श्रृंखला को प्रेरित कर रही है। ऐसी ही एक हालिया कार्रवाई एक जारी करना है साइबर सुरक्षा पर कार्यकारी आदेश संयुक्त राज्य सरकार द्वारा.
इससे भी अधिक आश्वस्त करने वाली बात यह है कि सामूहिक रूप से ऐसे उपायों को पेश करने में कई बड़े खिलाड़ियों की बढ़ती रुचि है जो सॉफ्टवेयर आपूर्ति श्रृंखलाओं को लक्षित करने वाले दुर्भावनापूर्ण अभिनेताओं के बढ़ते खतरे के खिलाफ लड़ाई में सहायता कर सकते हैं। अक्टूबर 2022 में, गूगल की घोषणा की एक नया ओपन-सोर्स प्रोजेक्ट जिसे ग्राफ़ फ़ॉर अंडरस्टैंडिंग आर्टिफैक्ट कंपोज़िशन (संक्षेप में GUAC) के रूप में जाना जाता है। हालाँकि यह पहल अभी भी अपने प्रारंभिक चरण में है, हमें यह काफी दिलचस्प लगता है क्योंकि इसमें सॉफ्टवेयर आपूर्ति श्रृंखलाओं के बारे में उद्योग की वर्तमान समझ को बदलने की क्षमता है और इन खतरों को और कम करने के लिए उन्नत उपाय पेश किए गए हैं।
GUAC क्यों? अब क्यों?
एक संगठन के रूप में, Google का मुख्य मिशन दुनिया की जानकारी को व्यवस्थित करना और इसे सार्वभौमिक रूप से सुलभ और उपयोगी बनाना है। जहां तक साइबर सुरक्षा जगत का सवाल है, ग्राफ़ फॉर अंडरस्टैंडिंग आर्टिफैक्ट कंपोज़िशन (जीयूएसी) उस मिशन के अनुरूप है। जीयूएसी का लक्ष्य सभी संगठनों के लिए शीर्ष-स्तरीय सुरक्षा जानकारी उपलब्ध कराना है, जिनमें वे लोग भी शामिल हैं जिनके पास यह जानकारी प्राप्त करने के लिए आईटी बजट या एंटरप्राइज-स्केल सुरक्षा बुनियादी ढांचा नहीं है।
GUAC मूल्यवान सॉफ़्टवेयर सुरक्षा मेटाडेटा को उच्च-निष्ठा ग्राफ़ डेटाबेस में एकत्रित करने का एक प्रयास है। डेटाबेस में न केवल विभिन्न सॉफ़्टवेयर संस्थाओं की पहचान शामिल होगी बल्कि उनके बीच मानक संबंध का भी विवरण होगा।
विभिन्न समूहों के बीच सामुदायिक सहयोग ने जैसे नीतिगत दस्तावेज़ीकरण को जन्म दिया है सामग्री के सॉफ्टवेयर बिल (एसबीओएम), हस्ताक्षरित सत्यापन जो विवरण देते हैं कि सॉफ्टवेयर कैसे बनाया जाता है (जैसे एसएलएसए), और डेटाबेस जो वैश्विक सुरक्षा डेटाबेस (जीएसडी) जैसे कमजोरियों को खोजना और खत्म करना आसान बनाते हैं। GUAC इन सभी डेटाबेस पर उपलब्ध जानकारी को संयोजित और संश्लेषित करने और उन्हें अधिक व्यापक प्रारूप में व्यवस्थित करने में मदद करेगा। इस तरह, कोई भी उन सॉफ़्टवेयर परिसंपत्तियों के बारे में उच्च-स्तरीय सुरक्षा प्रश्नों के आवश्यक उत्तर पा सकता है जिनका वे उपयोग करना चाहते हैं।
GUAC सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के तीन चरणों को कवर करता है
GUAC एक निःशुल्क ओपन-सोर्स प्लेटफ़ॉर्म है जो सॉफ़्टवेयर सुरक्षा मेटाडेटा के विभिन्न स्रोतों को एक ही स्रोत में एकत्रित करेगा। एक सुरक्षा उपकरण के रूप में, GUAC आपूर्ति श्रृंखला हमलों के खिलाफ अपने सॉफ़्टवेयर बुनियादी ढांचे को सुरक्षित करने के तीन चरणों में संगठनों के लिए उपयोगी होगा। यहां बताया गया है कि यह इनमें से प्रत्येक चरण के लिए कैसे उपयोगी होगा:
चरण #1: सक्रिय
सक्रिय चरण वह है जहां आप बड़े पैमाने पर सॉफ़्टवेयर समझौता होने से रोकने के लिए उपाय करते हैं। इस स्तर पर, आप अपने सॉफ़्टवेयर आपूर्ति श्रृंखला पारिस्थितिकी तंत्र के महत्वपूर्ण घटकों को जानना चाहेंगे जिनका आप सबसे अधिक उपयोग करते हैं, और GUAC उन्हें पहचानना आसान बना देगा। जीयूएसी के साथ, आप अपने समग्र सुरक्षा ढांचे में कमजोर बिंदुओं की पहचान कर सकते हैं, जिसमें वे क्षेत्र भी शामिल हैं जहां आप जोखिम भरी निर्भरता के संपर्क में हैं। इस तरह, आप हमलों को होने से पहले ही रोकने के लिए बेहतर स्थिति में हैं।
चरण #2: संचालनात्मक
परिचालन चरण निवारक चरण है जहां आप यह निर्धारित करते हैं कि आप जिस सॉफ़्टवेयर का उपयोग या तैनाती करना चाहते हैं वह आपूर्ति श्रृंखला जोखिमों के खिलाफ सुरक्षा उपायों के संबंध में सभी सही बक्सों की जांच करता है। GUAC के साथ आप सत्यापित कर सकते हैं कि सॉफ़्टवेयर आवश्यक नीति मानकों को पूरा करता है या नहीं या उत्पादन में सभी बायनेरिज़ को एक सुरक्षित भंडार में वापस खोजा जा सकता है या नहीं।
चरण #3: प्रतिक्रियाशील
सभी उपायों के बावजूद, आपूर्ति श्रृंखला का उल्लंघन अभी भी हो सकता है। प्रतिक्रियाशील चरण वह है जहां आप यह निर्धारित करते हैं कि उल्लंघन का पता चलने पर क्या करना है। जीयूएसी के साथ, प्रभावित संगठन यह पता लगा सकते हैं कि उनकी सूची का कौन सा हिस्सा भेद्यता से प्रभावित हुआ है, वे कितनी बुरी तरह प्रभावित हुए हैं और जोखिम क्या हैं। यह जानकारी किसी हमले को कम करने और भविष्य में पुनरावृत्ति को रोकने में मदद करेगी।
GUAC का आपके लिए क्या मतलब है?
तो एक संगठन या साइबर सुरक्षा पेशेवर के रूप में आपके लिए GUAC का क्या अर्थ है? चूँकि परियोजना अभी भी अपने विकास चरण में है, ऐसे कई तरीके हैं जिनसे आप व्यक्तिगत स्तर पर या संगठन के रूप में इसमें शामिल हो सकते हैं।
- शुरुआत करने वालों के लिए, यह शामिल होने का आह्वान है। लगभग 1,000 सीआईओ के सर्वेक्षण के आंकड़े बताते हैं कि साक्षात्कार में शामिल 82% लोगों का मानना है कि उनका संगठन साइबर हमलों के प्रति संवेदनशील है। इसका मतलब यह है कि यदि आप अपने सॉफ़्टवेयर बुनियादी ढांचे को सुरक्षित करने के लिए कोई उपाय नहीं कर रहे हैं, तो आपको अब पहले से कहीं अधिक ऐसा करना चाहिए। Google का यह कदम और अधिक कार्रवाई करने की आवश्यकता पर एक और चेतावनी है सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा बहुत गंभीर।
- दूसरा, यह योगदान देने का आह्वान है। GUAC वर्तमान में Github पर एक ओपन-सोर्स प्रोजेक्ट है। अब यह सब उस अवधारणा का प्रमाण है जो सॉफ्टवेयर मेटाडेटा की सरल खोज का समर्थन करने के लिए एसएलएसए, एसबीओएम और स्कोरकार्ड दस्तावेजों को एकत्रित करता है। परियोजना GUAC में मेटाडेटा जोड़ने के लिए योगदानकर्ताओं के साथ-साथ सलाहकारों का भी स्वागत करती है जो अंतिम उपयोगकर्ताओं की आवश्यकताओं का प्रतिनिधित्व करते हैं।
- GUAC इसके लिए एक बेहतरीन नई जोड़ी है एसएलएसए ढांचा. सुरक्षा ढाँचा - विभिन्न साइबर सुरक्षा हितधारकों के बीच एक सहयोग - सहमत उद्योग मानकों का एक सेट है जिसे व्यवसाय और व्यक्तिगत डेवलपर्स सॉफ़्टवेयर बनाते समय सूचित सुरक्षा निर्णय लेने के लिए अपना सकते हैं। संयुक्त रूप से, ये दोनों नीति दस्तावेज़ सॉफ़्टवेयर सुरक्षा के संबंध में बेहतर परिणाम लाने में मदद करेंगे।
- GUAC इसके बढ़ते महत्व को भी प्रमाणित करता है सामग्री का सॉफ्टवेयर बिल (एसबीओएम)। सॉफ़्टवेयर में उपयोग की जाने वाली सभी कलाकृतियों की यह औपचारिक सूची उपयोगकर्ताओं के लिए सुरक्षा कमजोरियों के जोखिम को कम करती है और उन्हें यह जानने में भी मदद करती है कि उल्लंघन होने पर कैसे कार्य करना है और कमजोरियों को कहां देखना है।
- अंत में, आपको पता होना चाहिए कि आपके सॉफ़्टवेयर के सभी तृतीय-पक्ष घटकों की अखंडता की गारंटी देने का एकमात्र तरीका यह सुनिश्चित करना है कि प्रत्येक कोड जिसे आपने स्वयं नहीं लिखा है, उसका पूरी तरह से हिसाब-किताब किया गया है, छेड़छाड़ नहीं की गई है, और सभी दुर्भावनापूर्ण कोड से मुक्त है। सौभाग्य से, ऐसे सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा उपकरण और ढाँचे हैं जो आपके संपूर्ण सॉफ़्टवेयर विकास जीवनचक्र (एसडीएलसी) में प्रत्येक घटक की निगरानी करने में आपकी सहायता कर सकते हैं। यहां एक लेख है जो आपको खोजने में मदद करने के लिए एक अच्छा प्रारंभिक बिंदु हो सकता है सही सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा उपकरण अपनी जरूरतों के लिए.
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.