एसडीएलसी में सुरक्षा मानकों को कैसे बनाए रखें और एसएसडीएफ आवश्यकताओं को कैसे संबोधित करें

सुरक्षित सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ), उर्फ ​​एनआईएसटी एसपी800-218, कार्यकारी आदेश 14028 के जवाब में एनआईएसटी द्वारा विकसित दिशानिर्देशों का एक सेट है, जो विशेष रूप से सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के संबंध में संयुक्त राज्य अमेरिका की साइबर सुरक्षा स्थिति को बढ़ाने पर केंद्रित है। 

एसएसडीएफ एक सर्वोत्तम अभ्यास ढांचा है, मानक नहीं। हालांकि यह विशेष रूप से अमेरिकी सरकार के लिए सॉफ्टवेयर विकसित करने वाले संगठनों के लिए प्रासंगिक है, एसएसडीएफ किसी भी सॉफ्टवेयर विकास संगठन को लाभ पहुंचाता है। 

यह पेपर चार एसएसडीएफ प्रथाओं की समीक्षा करता है और बताता है कि इसका उपयोग कैसे करें मुंशी सुरक्षा एसडीएलसी में सुरक्षा मानकों को बनाए रखने के लिए लोगों और प्रक्रियाओं को सक्षम करने के लिए उपकरण प्रदान करके उन्हें लागू करने में मदद करना।

स्क्राइब सिक्योरिटी सॉफ्टवेयर आपूर्ति श्रृंखलाओं को सुरक्षित करने का एक मंच है।

सॉफ़्टवेयर को सुरक्षित रखें (पीएस)

पीएस अभ्यास छेड़छाड़ और अनधिकृत पहुंच के सभी सॉफ़्टवेयर घटकों के खतरे को संबोधित करता है। पीएस नियंत्रण का उद्देश्य सॉफ्टवेयर के पूरे विकास जीवनचक्र में उसकी सुरक्षा सुनिश्चित करना है। इनमें सभी प्रकार के कोड की सुरक्षा करना, सॉफ़्टवेयर रिलीज़ अखंडता की पुष्टि करना और प्रत्येक सॉफ़्टवेयर रिलीज़ को संग्रहीत करना और उसकी सुरक्षा करना शामिल है।

स्क्राइब निम्नलिखित विशेषताओं द्वारा पीएस नियंत्रणों को संबोधित करने में मदद करता है:

1. स्रोत कोड पर हस्ताक्षर करना और कलाकृतियों का निर्माण करना: यह कोड की अखंडता और प्रामाणिकता सुनिश्चित करने और कलाकृतियों का निर्माण करने में मदद करता है, जो अनधिकृत पहुंच और छेड़छाड़ से कोड की सुरक्षा पर एसएसडीएफ के जोर के साथ संरेखित होता है। विकास प्रक्रिया के दौरान निरंतर कोड पर हस्ताक्षर करने से यह सुनिश्चित करने में मदद मिलती है कि सॉफ़्टवेयर रिलीज़ की अखंडता के साथ छेड़छाड़ नहीं की गई है।
2. उत्पत्ति पर नज़र रखना: सुरक्षित सोर्सिंग के लिए सॉफ्टवेयर घटकों की उत्पत्ति और इतिहास की निगरानी करना, समझौता किए गए घटकों से उत्पन्न होने वाली कमजोरियों के खिलाफ सॉफ्टवेयर को सुरक्षित रखने में मदद करना।
3. एसडीएलसी के दौरान सॉफ्टवेयर अखंडता की निगरानी: पूरे एसडीएलसी में अखंडता की निरंतर जांच डेव टूल्स और पाइपलाइनों में संभावित हमलावरों को रोकती है।
4. स्वचालित सुरक्षा टूलचेन: सुरक्षा प्रक्रिया के पहलुओं को स्वचालित करने वाले टूलचेन को लागू करना मानवीय त्रुटि को कम कर सकता है और सुरक्षा प्रथाओं के लगातार अनुप्रयोग को सुनिश्चित कर सकता है।  
5. सॉफ़्टवेयर सुरक्षा जाँच के लिए मानदंड: सॉफ़्टवेयर के विकास के दौरान उसकी सुरक्षा की जाँच करने के लिए मानदंड को परिभाषित करना और उसका उपयोग करना संगठनात्मक मानकों के अनुपालन को सुनिश्चित करने और संभावित कमजोरियों की पहचान करने के लिए महत्वपूर्ण है।  
6. सुरक्षित विकास वातावरण: कमजोरियों को रोकने और सॉफ्टवेयर विकास प्रक्रिया की सुरक्षा के लिए सुरक्षित विकास, निर्माण और परीक्षण वातावरण बनाए रखना महत्वपूर्ण है।
7. स्रोत कोड, डेव टूल और सॉफ्टवेयर आर्टिफैक्ट रजिस्ट्रियों तक पहुंच नियंत्रण के लिए नीति लागू करें: अधिकृत उपयोगकर्ताओं तक पहुंच को प्रतिबंधित करने से अनधिकृत उपयोग और छेड़छाड़ को रोका जा सकता है।

अच्छी तरह से सुरक्षित सॉफ़्टवेयर (पीडब्लू) तैयार करें 

पीडब्लू अभ्यास पूरे एसडीएलसी में सॉफ्टवेयर में पेश की गई कमजोरियों को संबोधित करता है। इसमें सुरक्षा आवश्यकताओं को पूरा करने के लिए सॉफ़्टवेयर डिज़ाइन करना, अनुपालन के लिए डिज़ाइन की समीक्षा करना, सुरक्षित कोड का पुन: उपयोग करना, सुरक्षा के लिए निर्माण प्रक्रियाओं को कॉन्फ़िगर करना और कमजोरियों के लिए निष्पादन योग्य कोड का परीक्षण करना शामिल है।

स्क्राइब निम्नलिखित सुविधाओं के माध्यम से पीडब्ल्यू नियंत्रणों को संबोधित करने में मदद करता है:

1. सॉफ़्टवेयर संरचना विश्लेषण (एससीए): सॉफ़्टवेयर निर्भरता से जुड़े जोखिमों को कम करने के लिए ओपन-सोर्स और तृतीय-पक्ष घटकों की पहचान और प्रबंधन करना।
2. भेद्यता और प्रतिष्ठा इंटेलिजेंस: विश्वसनीयता सुनिश्चित करने के लिए कमजोरियों की निरंतर निगरानी और सॉफ्टवेयर घटकों की प्रतिष्ठा का आकलन करना।
3. जोखिम विश्लेषण: ओपन-सोर्स निर्भरता से जुड़े संभावित सुरक्षा और लाइसेंस जोखिमों का मूल्यांकन और निगरानी, ​​सामग्री के सॉफ्टवेयर बिल का प्रबंधन (एसओबीओएम) और भेद्यता शोषणशीलता eXchange (VEX) सलाह।
4. एसडीएलसी से सुरक्षा संबंधी साक्ष्य एकत्र करना: सूचित जोखिम प्रबंधन के लिए एसडीएलसी में डेटा का विश्लेषण करना।
5. सुरक्षित विकास नीतियां: सॉफ्टवेयर विकास प्रक्रियाओं और प्रक्रियाओं के लिए दिशानिर्देशों को संहिताबद्ध करना और टीमों और सॉफ्टवेयर विकास परियोजनाओं में KPI को मापना।

कमजोरियों पर प्रतिक्रिया (आरवी)

आरवी अभ्यास में सॉफ़्टवेयर रिलीज़ में अवशिष्ट कमजोरियों की पहचान करना और उचित रूप से प्रतिक्रिया देना शामिल है। आरवी में या तो कमजोरियों को हल करना, कम करना, या हितधारकों को सलाह प्रदान करना शामिल है।

स्क्राइब निम्नलिखित सुविधाओं के माध्यम से आरवी नियंत्रणों को संबोधित करने में मदद करता है:

1. एसडीएलसी से साक्ष्य इकट्ठा करना: पूरे एसडीएलसी में मेटाडेटा एकत्र करना जो संगठन में प्रत्येक सॉफ्टवेयर रिलीज के लिए सभी संपत्तियों, उपकरणों, निर्भरताओं और प्रक्रिया चरणों का एक स्नैपशॉट बनाता है।
2. एसडीएलसी इंटेलिजेंस के लिए नॉलेज ग्राफ़: नॉलेज ग्राफ़ का उपयोग करके संपूर्ण प्रोजेक्ट पोर्टफोलियो में नई कमजोरियों, समस्याग्रस्त निर्भरताओं या समस्याग्रस्त कोड योगदानकर्ताओं के प्रभाव के विश्लेषण को सक्षम करना।
3. चल रही भेद्यता पहचान और प्राथमिकता: कमजोरियों की पहचान करने और प्राथमिकता देने के लिए स्वचालित उपकरण। 
4. निरंतर निगरानी और सुधार: संगठन के सॉफ़्टवेयर पोर्टफोलियो में रिलीज़ के बाद नई प्रकाशित कमजोरियों का पता लगाने के लिए निरंतर निगरानी तंत्र।

संगठन तैयार करें (PO)

पीओ अभ्यास का लक्ष्य संगठनात्मक स्तर पर है। लोगों, प्रक्रियाओं और प्रौद्योगिकी को सुरक्षित सॉफ़्टवेयर विकास करने के लिए तैयार किया जाता है।

स्क्राइब निम्नलिखित सुविधाओं के माध्यम से पीओ नियंत्रणों को संबोधित करने में मदद करता है:

1. कोड के रूप में नीति (GitOps): कोड के रूप में सुरक्षा नीतियों को लागू करने से पूरे SDLC में सुरक्षा के लिए लगातार रेलिंग की अनुमति मिलती है। यह सॉफ्टवेयर विकास के हर चरण में सुरक्षा को शामिल करने पर एसएसडीएफ के जोर के अनुरूप है।
2. एसएलएसए, एसएसडीएफ पीएस और कस्टम पहल जैसे फ्रेमवर्क का अनुपालन: इन फ्रेमवर्क के अनुपालन को लागू करना यह सुनिश्चित करता है कि सॉफ्टवेयर विकास मान्यता प्राप्त सुरक्षा मानकों के साथ संरेखित हो, जिससे सॉफ्टवेयर विकास को सुरक्षित करने के लिए संगठन की प्रतिबद्धता और मजबूत हो।
3. उन्नत संचार: सुरक्षा आवश्यकताओं को अच्छी तरह से समझने और विकास प्रक्रिया में एकीकृत करने के लिए सामान्य जमीनी सच्चाई के रूप में वास्तविक साक्ष्य डेटा और KPI के आधार पर टीमों के बीच प्रभावी संचार और सहयोग की सुविधा प्रदान करना।
4. सतत निगरानी और ऑडिटिंग: सुरक्षा प्रथाओं और नीतियों का निरंतर पालन सुनिश्चित करने के लिए निरंतर निगरानी और ऑडिटिंग तंत्र।

निष्कर्ष

स्क्राइब सिक्योरिटी सॉफ्टवेयर आपूर्ति श्रृंखलाओं को सुरक्षित करने का एक मंच है। इसे सॉफ़्टवेयर कलाकृतियों और सॉफ़्टवेयर फ़ैक्टरी की सुरक्षा के सभी सुरक्षा पहलुओं को संबोधित करने के लिए डिज़ाइन किया गया है। यह संगठनों के बीच और उनके बीच सॉफ्टवेयर उत्पादों के व्यापक और समग्र जोखिम प्रबंधन की अनुमति देता है और सॉफ्टवेयर उत्पादकों और उपभोक्ताओं के बीच एक सॉफ्टवेयर विश्वास केंद्र के रूप में कार्य कर सकता है। 

मुंशी भी अनुपालन का एक साधन है और एसएसडीएफ ढांचे का समर्थन करता है. यह एसएलएसए, विशिष्ट उद्योग मानकों और कस्टम संगठनों की पहल जैसी अन्य सर्वोत्तम प्रथाओं के अनुपालन की अनुमति देता है। 

संबंधित पोस्ट

भेद्यता से विजय तक: अपनी सीआई/सीडी पाइपलाइन का बचाव

विकास को गति देने के लिए स्वचालित सीआई/सीडी (सतत एकीकरण/निरंतर वितरण) पाइपलाइनों का उपयोग किया जाता है। ऐसे ट्रिगर या शेड्यूलिंग का होना अद्भुत है जो आपका कोड लेते हैं, उसे मर्ज करते हैं, उसका निर्माण करते हैं, उसका परीक्षण करते हैं और उसे स्वचालित रूप से शिप करते हैं। हालाँकि, गति और उपयोग में आसानी के लिए बनाए जाने का मतलब है कि अधिकांश पाइपलाइनें स्वाभाविक रूप से सुरक्षा के साथ नहीं बनाई गई हैं […]

सीआई/सीडी सुरक्षा सर्वोत्तम प्रथाएँ

सीआई/सीडी पाइपलाइनों के अंदर क्या होता है इसकी विशिष्टताएँ कुख्यात रूप से अपारदर्शी हैं। YAML कॉन्फ़िगरेशन फ़ाइल, जो कि निर्देशों की पाइपलाइन सूची है, लिखने के बावजूद, आप यह कैसे सुनिश्चित कर सकते हैं कि सब कुछ ठीक उसी तरह होता है जैसा कि वर्णित है? इससे भी बदतर, अधिकांश पाइपलाइनें पूरी तरह से अस्थायी हैं, इसलिए खराबी की स्थिति में भी, […]

एनआईएसटी के साइबर सुरक्षा फ्रेमवर्क 2.0 में क्या बदलाव आया है और आपको इसकी परवाह क्यों करनी चाहिए?

अगस्त की शुरुआत में, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने अपने ऐतिहासिक साइबर सुरक्षा फ्रेमवर्क का ड्राफ्ट 2.0 संस्करण जारी किया, जो पहली बार 2014 में प्रकाशित हुआ था। पिछले 10 वर्षों में बहुत कुछ बदल गया है, जिनमें से कम से कम इसका बढ़ता स्तर है साइबर सुरक्षा संबंधी ख़तरे जो मूल दस्तावेज़ में महत्वपूर्ण लोगों की सहायता के लिए निर्धारित किए गए हैं […]