कलाकृतियों की संरचना (जीयूएसी) को समझने के लिए ग्राफ़: मुख्य विशेषताएं

जिन जोखिमों का सामना करना पड़ा सॉफ्टवेयर आपूर्ति श्रृंखला साइबर सुरक्षा पारिस्थितिकी तंत्र में बातचीत में सबसे आगे अपना स्थान ले लिया है। यह आंशिक रूप से इनकी बढ़ी हुई आवृत्ति के कारण है आपूर्ति श्रृंखला हमले, लेकिन जब वे घटित होते हैं तो उनके संभावित दूरगामी प्रभावों के कारण भी।

2021 के आंकड़े सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को दर्शाते हैं आवृत्ति में तीन गुना पिछले वर्ष से, एक प्रवृत्ति जिसके भविष्य में धीमा होने की संभावना नहीं है। सौभाग्य से, सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों के जोखिम के बारे में बढ़ती जागरूकता संभावित लाभकारी कार्यों की एक विस्तृत श्रृंखला को प्रेरित कर रही है। ऐसी ही एक हालिया कार्रवाई एक जारी करना है साइबर सुरक्षा पर कार्यकारी आदेश संयुक्त राज्य सरकार द्वारा.

इससे भी अधिक आश्वस्त करने वाली बात यह है कि सामूहिक रूप से ऐसे उपायों को पेश करने में कई बड़े खिलाड़ियों की बढ़ती रुचि है जो सॉफ्टवेयर आपूर्ति श्रृंखलाओं को लक्षित करने वाले दुर्भावनापूर्ण अभिनेताओं के बढ़ते खतरे के खिलाफ लड़ाई में सहायता कर सकते हैं। अक्टूबर 2022 में, गूगल की घोषणा की एक नया ओपन-सोर्स प्रोजेक्ट जिसे ग्राफ़ फ़ॉर अंडरस्टैंडिंग आर्टिफैक्ट कंपोज़िशन (संक्षेप में GUAC) के रूप में जाना जाता है। हालाँकि यह पहल अभी भी अपने प्रारंभिक चरण में है, हमें यह काफी दिलचस्प लगता है क्योंकि इसमें सॉफ्टवेयर आपूर्ति श्रृंखलाओं के बारे में उद्योग की वर्तमान समझ को बदलने की क्षमता है और इन खतरों को और कम करने के लिए उन्नत उपाय पेश किए गए हैं।

GUAC क्यों? अब क्यों?

एक संगठन के रूप में, Google का मुख्य मिशन दुनिया की जानकारी को व्यवस्थित करना और इसे सार्वभौमिक रूप से सुलभ और उपयोगी बनाना है। जहां तक ​​साइबर सुरक्षा जगत का सवाल है, ग्राफ़ फॉर अंडरस्टैंडिंग आर्टिफैक्ट कंपोज़िशन (जीयूएसी) उस मिशन के अनुरूप है। जीयूएसी का लक्ष्य सभी संगठनों के लिए शीर्ष-स्तरीय सुरक्षा जानकारी उपलब्ध कराना है, जिनमें वे लोग भी शामिल हैं जिनके पास यह जानकारी प्राप्त करने के लिए आईटी बजट या एंटरप्राइज-स्केल सुरक्षा बुनियादी ढांचा नहीं है।

GUAC मूल्यवान सॉफ़्टवेयर सुरक्षा मेटाडेटा को उच्च-निष्ठा ग्राफ़ डेटाबेस में एकत्रित करने का एक प्रयास है। डेटाबेस में न केवल विभिन्न सॉफ़्टवेयर संस्थाओं की पहचान शामिल होगी बल्कि उनके बीच मानक संबंध का भी विवरण होगा।

विभिन्न समूहों के बीच सामुदायिक सहयोग ने जैसे नीतिगत दस्तावेज़ीकरण को जन्म दिया है सामग्री के सॉफ्टवेयर बिल (एसबीओएम), हस्ताक्षरित सत्यापन जो विवरण देते हैं कि सॉफ्टवेयर कैसे बनाया जाता है (जैसे एसएलएसए), और डेटाबेस जो वैश्विक सुरक्षा डेटाबेस (जीएसडी) जैसे कमजोरियों को खोजना और खत्म करना आसान बनाते हैं। GUAC इन सभी डेटाबेस पर उपलब्ध जानकारी को संयोजित और संश्लेषित करने और उन्हें अधिक व्यापक प्रारूप में व्यवस्थित करने में मदद करेगा। इस तरह, कोई भी उन सॉफ़्टवेयर परिसंपत्तियों के बारे में उच्च-स्तरीय सुरक्षा प्रश्नों के आवश्यक उत्तर पा सकता है जिनका वे उपयोग करना चाहते हैं।

स्रोत: Google सुरक्षा ब्लॉग

GUAC सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के तीन चरणों को कवर करता है

GUAC एक निःशुल्क ओपन-सोर्स प्लेटफ़ॉर्म है जो सॉफ़्टवेयर सुरक्षा मेटाडेटा के विभिन्न स्रोतों को एक ही स्रोत में एकत्रित करेगा। एक सुरक्षा उपकरण के रूप में, GUAC आपूर्ति श्रृंखला हमलों के खिलाफ अपने सॉफ़्टवेयर बुनियादी ढांचे को सुरक्षित करने के तीन चरणों में संगठनों के लिए उपयोगी होगा। यहां बताया गया है कि यह इनमें से प्रत्येक चरण के लिए कैसे उपयोगी होगा:

चरण #1: सक्रिय

सक्रिय चरण वह है जहां आप बड़े पैमाने पर सॉफ़्टवेयर समझौता होने से रोकने के लिए उपाय करते हैं। इस स्तर पर, आप अपने सॉफ़्टवेयर आपूर्ति श्रृंखला पारिस्थितिकी तंत्र के महत्वपूर्ण घटकों को जानना चाहेंगे जिनका आप सबसे अधिक उपयोग करते हैं, और GUAC उन्हें पहचानना आसान बना देगा। जीयूएसी के साथ, आप अपने समग्र सुरक्षा ढांचे में कमजोर बिंदुओं की पहचान कर सकते हैं, जिसमें वे क्षेत्र भी शामिल हैं जहां आप जोखिम भरी निर्भरता के संपर्क में हैं। इस तरह, आप हमलों को होने से पहले ही रोकने के लिए बेहतर स्थिति में हैं।

चरण #2: संचालनात्मक

परिचालन चरण निवारक चरण है जहां आप यह निर्धारित करते हैं कि आप जिस सॉफ़्टवेयर का उपयोग या तैनाती करना चाहते हैं वह आपूर्ति श्रृंखला जोखिमों के खिलाफ सुरक्षा उपायों के संबंध में सभी सही बक्सों की जांच करता है। GUAC के साथ आप सत्यापित कर सकते हैं कि सॉफ़्टवेयर आवश्यक नीति मानकों को पूरा करता है या नहीं या उत्पादन में सभी बायनेरिज़ को एक सुरक्षित भंडार में वापस खोजा जा सकता है या नहीं।

चरण #3: प्रतिक्रियाशील

सभी उपायों के बावजूद, आपूर्ति श्रृंखला का उल्लंघन अभी भी हो सकता है। प्रतिक्रियाशील चरण वह है जहां आप यह निर्धारित करते हैं कि उल्लंघन का पता चलने पर क्या करना है। जीयूएसी के साथ, प्रभावित संगठन यह पता लगा सकते हैं कि उनकी सूची का कौन सा हिस्सा भेद्यता से प्रभावित हुआ है, वे कितनी बुरी तरह प्रभावित हुए हैं और जोखिम क्या हैं। यह जानकारी किसी हमले को कम करने और भविष्य में पुनरावृत्ति को रोकने में मदद करेगी।

GUAC का आपके लिए क्या मतलब है?

तो एक संगठन या साइबर सुरक्षा पेशेवर के रूप में आपके लिए GUAC का क्या अर्थ है? चूँकि परियोजना अभी भी अपने विकास चरण में है, ऐसे कई तरीके हैं जिनसे आप व्यक्तिगत स्तर पर या संगठन के रूप में इसमें शामिल हो सकते हैं।

• शुरुआत करने वालों के लिए, यह शामिल होने का आह्वान है। लगभग 1,000 सीआईओ के सर्वेक्षण के आंकड़े बताते हैं कि साक्षात्कार में शामिल 82% लोगों का मानना ​​है कि उनका संगठन साइबर हमलों के प्रति संवेदनशील है। इसका मतलब यह है कि यदि आप अपने सॉफ़्टवेयर बुनियादी ढांचे को सुरक्षित करने के लिए कोई उपाय नहीं कर रहे हैं, तो आपको अब पहले से कहीं अधिक ऐसा करना चाहिए। Google का यह कदम और अधिक कार्रवाई करने की आवश्यकता पर एक और चेतावनी है सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा बहुत गंभीर।
• दूसरा, यह योगदान देने का आह्वान है। GUAC वर्तमान में Github पर एक ओपन-सोर्स प्रोजेक्ट है। अब यह सब उस अवधारणा का प्रमाण है जो सॉफ्टवेयर मेटाडेटा की सरल खोज का समर्थन करने के लिए एसएलएसए, एसबीओएम और स्कोरकार्ड दस्तावेजों को एकत्रित करता है। परियोजना GUAC में मेटाडेटा जोड़ने के लिए योगदानकर्ताओं के साथ-साथ सलाहकारों का भी स्वागत करती है जो अंतिम उपयोगकर्ताओं की आवश्यकताओं का प्रतिनिधित्व करते हैं।
• GUAC इसके लिए एक बेहतरीन नई जोड़ी है एसएलएसए ढांचा. सुरक्षा ढाँचा - विभिन्न साइबर सुरक्षा हितधारकों के बीच एक सहयोग - सहमत उद्योग मानकों का एक सेट है जिसे व्यवसाय और व्यक्तिगत डेवलपर्स सॉफ़्टवेयर बनाते समय सूचित सुरक्षा निर्णय लेने के लिए अपना सकते हैं। संयुक्त रूप से, ये दोनों नीति दस्तावेज़ सॉफ़्टवेयर सुरक्षा के संबंध में बेहतर परिणाम लाने में मदद करेंगे।
• GUAC इसके बढ़ते महत्व को भी प्रमाणित करता है सामग्री का सॉफ्टवेयर बिल (एसबीओएम)। सॉफ़्टवेयर में उपयोग की जाने वाली सभी कलाकृतियों की यह औपचारिक सूची उपयोगकर्ताओं के लिए सुरक्षा कमजोरियों के जोखिम को कम करती है और उन्हें यह जानने में भी मदद करती है कि उल्लंघन होने पर कैसे कार्य करना है और कमजोरियों को कहां देखना है।
• अंत में, आपको पता होना चाहिए कि आपके सॉफ़्टवेयर के सभी तृतीय-पक्ष घटकों की अखंडता की गारंटी देने का एकमात्र तरीका यह सुनिश्चित करना है कि प्रत्येक कोड जिसे आपने स्वयं नहीं लिखा है, उसका पूरी तरह से हिसाब-किताब किया गया है, छेड़छाड़ नहीं की गई है, और सभी दुर्भावनापूर्ण कोड से मुक्त है। सौभाग्य से, ऐसे सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा उपकरण और ढाँचे हैं जो आपके संपूर्ण सॉफ़्टवेयर विकास जीवनचक्र (एसडीएलसी) में प्रत्येक घटक की निगरानी करने में आपकी सहायता कर सकते हैं। यहां एक लेख है जो आपको खोजने में मदद करने के लिए एक अच्छा प्रारंभिक बिंदु हो सकता है सही सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा उपकरण अपनी जरूरतों के लिए.

संबंधित पोस्ट

सॉफ़्टवेयर पर हस्ताक्षर करने और सत्यापन करने के महत्व को समझाने के लिए 3CX डेस्कटॉप ऐप अटैक का उपयोग करना

मार्च 2023 के अंत में, सुरक्षा शोधकर्ताओं ने 3CX, मुख्य रूप से कंपनी के वॉयस और वीडियो-कॉलिंग डेस्कटॉप ऐप से व्यावसायिक संचार सॉफ़्टवेयर पर एक खतरनाक अभिनेता के जटिल सॉफ़्टवेयर आपूर्ति श्रृंखला हमले का पर्दाफाश किया। शोधकर्ताओं ने चेतावनी दी कि ऐप को किसी तरह ट्रोजनाइज़ किया गया था और इसका उपयोग करने से संगठन किसी ख़तरे वाले अभिनेता द्वारा संभावित घुसपैठ योजना के संपर्क में आ सकता है। […]

भेद्यता स्कैन में सीवीई बर्नआउट और अलर्ट थकान से कैसे बचें?

आपके सॉफ़्टवेयर अनुप्रयोगों को सुरक्षित करने के लिए सीवीई (सामान्य कमज़ोरियाँ और एक्सपोज़र) स्कैन आवश्यक हैं। हालाँकि, सॉफ़्टवेयर स्टैक की बढ़ती जटिलता के साथ, सभी सीवीई की पहचान करना और उनका समाधान करना चुनौतीपूर्ण हो सकता है। आज सीवीई स्कैन के साथ सबसे बड़े मुद्दों में से एक झूठी सकारात्मकता का प्रसार है, जहां एक ऐसे पैकेज में भेद्यता की पहचान की जाती है जो […]

सॉफ़्टवेयर आपूर्ति श्रृंखला में एक गुप्त मुठभेड़

सॉफ़्टवेयर आपूर्ति श्रृंखला के जोखिमों में से एक रहस्य लीक होना है। सॉफ़्टवेयर आपूर्ति शृंखला के चारों ओर रहस्य हैं; डेवलपर्स और सीआई\सीडी पाइपलाइनों को एससीएम, पाइपलाइन, आर्टिफैक्ट रजिस्ट्रियों, क्लाउड वातावरण और बाहरी सेवाओं तक पहुंचने के लिए रहस्यों का उपयोग करने की आवश्यकता है। और जब रहस्य हर जगह हों, तो यह समय की बात है […]