22 मार्च को NIST ने SSDF 1.1 (सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क) का अंतिम संस्करण जारी किया।
फ्रेमवर्क को शुरुआत में सितंबर 2021 में ड्राफ्ट संस्करण के रूप में प्रकाशित किया गया था। सभी उच्च-स्तरीय प्रथाएं और कार्य प्रदान किए गए विभिन्न उदाहरणों पर केंद्रित कई अंतरों के साथ समान रहते हैं।
एनआईएसटी एसपी 800-218 ढांचा क्या है? एसएसडीएफ सुरक्षित सॉफ्टवेयर विकास के लिए लंबे समय से चली आ रही सर्वोत्तम अभ्यास सिफारिशों को समेकित करता है। इसका अनुकूलन योग्य, सेक्टर-अज्ञेयवादी दृष्टिकोण रणनीतिक लक्ष्यों को परिभाषित करने और वर्तमान अंतराल का आकलन करने में मदद करने के लिए क्रॉस-डिपार्टमेंट (और निर्माता/अधिग्रहणकर्ता) संचार की सुविधा के लिए बनाया गया है।
एनआईएसटी यह तय करते समय कि किन प्रथाओं को लागू करना है, लागत, व्यवहार्यता और प्रयोज्यता के विरुद्ध जोखिम को संतुलित करने की सिफारिश करता है। सॉफ़्टवेयर सुरक्षा को बढ़ावा देने वाली अधिक से अधिक जाँचों और प्रक्रियाओं को स्वचालित करने के वांछित लक्ष्य के साथ स्वचालन एक प्रमुख विशेषता है जिस पर विचार किया जाना चाहिए।
अंतिम और ड्राफ्ट संस्करणों के बीच अंतर:
सत्यनिष्ठा सत्यापन - कमजोरियों पर चर्चा करते समय, अखंडता सत्यापन पर अधिक ध्यान दिया जाता है जब आप अपने कोड और बाहरी स्रोतों से प्राप्त पुस्तकालयों/उत्पादों दोनों को देख रहे हों।
अपरिवर्तनीय सत्यापन - प्रथाओं को लागू करने की जिम्मेदारी विभिन्न संगठनों के बीच वितरित की जा सकती है, खासकर जब सॉफ्टवेयर आपूर्ति श्रृंखलाओं की जटिलता पर विचार किया जाता है। आप जितनी अधिक धारा के ऊपर या नीचे की ओर जाते हैं दृश्यता काफी कम हो जाती है। इसीलिए एनआईएसटी एक अनुबंध या समझौते में प्लेटफ़ॉर्म/सेवा के प्रदाताओं और उपभोक्ताओं दोनों को शामिल करते हुए साझा जिम्मेदारी को संहिताबद्ध करने की सिफारिश करता है। यह स्पष्ट होना चाहिए कि प्रत्येक अभ्यास और कार्य के लिए कौन सी पार्टी जिम्मेदार है और प्रत्येक प्रदाता समझौते के अनुरूप होने की पुष्टि कैसे करेगा। 'विश्वास करें लेकिन सत्यापित करें' सिद्धांत यहां सच है - अपरिवर्तनीय सत्यापन जिसे सॉफ्टवेयर उत्पादकों और सॉफ्टवेयर अधिग्रहणकर्ताओं के बीच आसानी से साझा किया जा सकता है, सॉफ्टवेयर आपूर्ति श्रृंखला में सभी हितधारकों का विश्वास बढ़ाने के लिए महत्वपूर्ण है।
ओपन-सोर्स समुदाय की भागीदारी - एनआईएसटी का कहना है कि भविष्य का काम संभवतः विशिष्ट उपयोग के मामलों का रूप लेगा और वह इसके साथ सहयोग करने का इरादा रखता है खुला स्रोत समुदाय. यह ध्यान में रखते हुए कि आज उपयोग में आने वाले अधिकांश वाणिज्यिक कोड उत्पादों में महत्वपूर्ण ओपन-सोर्स कोड तत्व शामिल हैं, सॉफ्टवेयर जीवन-चक्र सुरक्षा की योजना और कार्यान्वयन में ओपन-सोर्स समुदाय को शामिल करना स्वाभाविक है।
KRI (मुख्य जोखिम संकेतक) के रूप में भेद्यता गंभीरता स्कोर - एक और परिवर्तन जो प्रभावी हो रहा है वह है एक प्रमुख संकेतक के रूप में गंभीरता स्कोर। यह जानते हुए कि बहुत सारे साइबर सुरक्षा कर्मी सतर्क थकान से पीड़ित हैं, प्रत्येक संगठन के लिए यह समझ में आता है कि वह भेद्यता स्कोर पैमाने को परिभाषित करे जो उसके लिए सही है और प्रत्येक ऐसे स्कोर के लिए विशिष्ट उपचार की आवश्यकता है।
कम मानव पहुंच, अधिक स्वचालन - एनआईएसटी बिल्ड सेवाओं जैसे टूलचेन सिस्टम तक सीधी मानव पहुंच को कम करने को प्रोत्साहित करता है। जितने अधिक लोगों तक पहुंच होगी, उतनी अधिक गलतियाँ हो सकती हैं। यह, फिर से, अधिक स्वचालन की सिफ़ारिश के समान ही है।
ईमानदारी के साथ एसबीओएम - एसबीओएम (सॉफ्टवेयर बिल ऑफ मैटेरियल्स) पर चर्चा करते समय, एनआईएसटी कलाकृतियों की अखंडता के लिए मजबूत सुरक्षा नियोजित करने की सिफारिश करता है, साथ ही प्राप्तकर्ताओं को उस अखंडता को सत्यापित करने का एक तरीका प्रदान करता है। प्राप्तकर्ता संगठन के अंदर और बाहर दोनों जगह के लोग हो सकते हैं, इसलिए सुरक्षित एसबीओएम साझा करने के लिए तीसरे पक्ष की प्रणाली को नियोजित करना समझ में आता है।
बाइनरी बनाम स्रोत कोड अखंडता - यदि अधिग्रहीत बायनेरिज़ की अखंडता या उत्पत्ति की पुष्टि नहीं की जा सकती है, तो उन बायनेरिज़ को स्रोत कोड से नए सिरे से बनाने का सुझाव दिया गया है। इसका मतलब यह है कि आप स्रोत कोड की अखंडता और उत्पत्ति को सत्यापित कर सकते हैं। डिजिटल हस्ताक्षर या एसबीओएम जैसे अन्य तंत्रों के माध्यम से अखंडता का सत्यापन योग्य प्रमाण प्रदान करना सॉफ्टवेयर आपूर्ति श्रृंखला के सभी लिंक की जिम्मेदारी है।
सारांश
कुल मिलाकर, एनआईएसटी का मानना है कि “एसएसडीएफ की प्रथाएं, कार्य और कार्यान्वयन उदाहरण विचार करने के लिए एक शुरुआती बिंदु का प्रतिनिधित्व करते हैं। वे बदलने और अनुकूलित करने और समय के साथ विकसित होने के लिए हैं।
एसएसडीएफ कोई चेकलिस्ट नहीं है जिसका आपको पालन करना चाहिए, बल्कि यह सुरक्षित सॉफ्टवेयर विकास के लिए जोखिम-आधारित दृष्टिकोण की योजना बनाने और उसे लागू करने के लिए मार्गदर्शन प्रदान करता है।
अमेरिकी कानून-आधारित नियमों के विपरीत, एसएसडीएफ व्यवसाय-आधारित होने जा रहा है - सरकार बाजार को इस नए सर्वोत्तम अभ्यास ढांचे का पालन करने के लिए अपनी क्रय शक्ति का लाभ उठाएगी। यदि आप ढांचे का अनुपालन नहीं दिखा सकते हैं, तो सरकारी अनुबंधों के लिए आपके नाम पर विचार नहीं किया जाएगा। हमें एक ट्रिकल-डाउन प्रभाव देखने की संभावना है जहां सरकारी अनुबंधों के लिए आवेदन करने पर विचार करने वाले संगठनों को अपने सभी विक्रेताओं और आपूर्तिकर्ताओं को भी अनुपालन करने की आवश्यकता होगी, और इसी तरह सॉफ्टवेयर आपूर्ति श्रृंखला में भी।
नए नियमों और एसएसडीएफ के बारे में अधिक जानने के लिए, हमारा वेबिनार देखें "2022 में नए साइबर सुरक्षा विनियमों का रहस्योद्घाटन"।
यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.