Practical Guidance For Securing Your Software Supply Chain – OfficialSarkar

सॉफ़्टवेयर बनाने वाले संगठनों पर अपनी आपूर्ति श्रृंखलाओं को सुरक्षित करने और अपने सॉफ़्टवेयर की अखंडता सुनिश्चित करने के लिए बढ़ते विनियामक और कानूनी दबाव से कोई आश्चर्य नहीं होना चाहिए। पिछले कई वर्षों में, सॉफ़्टवेयर आपूर्ति श्रृंखला हमलावरों के लिए एक आकर्षक लक्ष्य बन गई है, जो अपने हमलों को कई गुना बढ़ाने के अवसर देखते हैं। उदाहरण के लिए, 2021 के Log4j उल्लंघन से आगे न देखें, जहाँ Log4j (अपाचे द्वारा बनाए रखा गया एक ओपन-सोर्स लॉगिंग फ्रेमवर्क और असंख्य विभिन्न अनुप्रयोगों में उपयोग किया जाता है) उन शोषणों की जड़ था, जिन्होंने हजारों सिस्टम को जोखिम में डाल दिया था।

लॉग4जे की संचार कार्यक्षमता कमजोर थी और इस प्रकार हमलावर को लॉग में दुर्भावनापूर्ण कोड डालने का अवसर प्रदान करती थी जिसे फिर सिस्टम पर निष्पादित किया जा सकता था। इसकी खोज के बाद, सुरक्षा शोधकर्ताओं ने लाखों शोषण के प्रयास देखे, जिनमें से कई सफल इनकार-सेवा (DoS) हमलों में बदल गए। गार्टनर के कुछ नवीनतम शोधों के अनुसार, 2025 तक लगभग आधे उद्यम संगठन सॉफ़्टवेयर आपूर्ति श्रृंखला हमले का लक्ष्य बन चुके होंगे।

लेकिन सॉफ्टवेयर सप्लाई चेन क्या है? शुरुआत के लिए, इसे सभी कोड, लोगों, प्रणालियों और प्रक्रियाओं के योग के रूप में परिभाषित किया जाता है जो किसी संगठन के अंदर और बाहर दोनों जगह सॉफ्टवेयर आर्टिफैक्ट के विकास और वितरण में योगदान करते हैं। और जो चीज सॉफ्टवेयर सप्लाई चेन को इतना चुनौतीपूर्ण बनाती है, वह है आधुनिक एप्लिकेशन विकसित करने की जटिल और अत्यधिक वितरित प्रकृति। संगठन डेवलपर्स की वैश्विक टीमों को नियुक्त करते हैं जो अपने एप्लिकेशन बनाने और तैनात करने के लिए उपयोग किए जाने वाले कोड रिपॉजिटरी और आर्टिफैक्ट रजिस्ट्री, CI/CD पाइपलाइन और इंफ्रास्ट्रक्चर संसाधनों की एक विस्तृत श्रृंखला के साथ-साथ अभूतपूर्व संख्या में ओपन सोर्स निर्भरताओं पर निर्भर करते हैं।

और जबकि सुरक्षा और अनुपालन लगातार उद्यम संगठनों के लिए एक शीर्ष चिंता का विषय है, संगठन की सॉफ़्टवेयर आपूर्ति श्रृंखलाओं को सुरक्षित करने की चुनौती बड़ी और बड़ी होती जा रही है। कई संगठन DevSecOps प्रथाओं को संचालित करने में भौतिक प्रगति कर रहे हैं, हालाँकि, उनमें से बहुत से अभी भी खुद को यह पता लगाने के शुरुआती चरणों में पाते हैं कि क्या करना है।

यही कारण है कि हमने यह लेख लिखा है। हालाँकि नीचे दी गई सूची किसी भी तरह से संपूर्ण नहीं है, लेकिन आपके सॉफ़्टवेयर सप्लाई चेन सुरक्षा प्रयासों को सही दिशा में आगे बढ़ाने के लिए यहाँ चार मार्गदर्शक सिद्धांत दिए गए हैं।

सुरक्षा लागू करते समय अपने सॉफ़्टवेयर आपूर्ति श्रृंखला के सभी पहलुओं पर विचार करें

यह देखते हुए कि 80% से अधिक कोड बेस में कम से कम एक ओपन-सोर्स भेद्यता है, यह तर्क दिया जा सकता है कि OSS निर्भरताएँ सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा का मुख्य केंद्र रही हैं। हालाँकि, आधुनिक सॉफ़्टवेयर आपूर्ति श्रृंखलाएँ अन्य संस्थाओं को शामिल करती हैं जिनकी सुरक्षा स्थितियों को या तो अनदेखा कर दिया जाता है या संगठन के भीतर उन्हें ठीक से प्रबंधित करने के लिए पर्याप्त रूप से समझा नहीं जाता है। ये संस्थाएँ कोड रिपॉजिटरी, CI और CD पाइपलाइन, इंफ्रास्ट्रक्चर और आर्टिफैक्ट रजिस्ट्री हैं, जिनमें से प्रत्येक को सुरक्षा नियंत्रण और नियमित अनुपालन मूल्यांकन की आवश्यकता होती है।

फ्रेमवर्क जैसे CI/CD के लिए OWASP शीर्ष-10 और सीआईएस सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा बेंचमार्कइन फ्रेमवर्क का पालन करने के लिए विस्तृत आरबीएसी की आवश्यकता होगी, जिसमें न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना, कमजोरियों और गलत कॉन्फ़िगरेशन के लिए कंटेनरों और बुनियादी ढांचे को कोड के रूप में स्कैन करना, बिल्ड को अलग करना, एप्लिकेशन सुरक्षा परीक्षण को एकीकृत करना और रहस्यों का उचित प्रबंधन करना शामिल है – यह तो बस कुछ उदाहरण हैं।

एसबीओएम शून्य-दिनों और अन्य घटक मुद्दों के निवारण के लिए आवश्यक हैं

व्हाइट हाउस द्वारा 2021 के मध्य में राष्ट्र की साइबर सुरक्षा स्थिति को मजबूत करने के लिए जारी किए गए कार्यकारी आदेश 14028 का एक हिस्सा यह अनिवार्य करता है कि सॉफ्टवेयर निर्माता अपने संघीय ग्राहकों को सॉफ्टवेयर बिल ऑफ मटीरियल (SBOM) प्रदान करें। SBOM अनिवार्य रूप से औपचारिक रिकॉर्ड हैं जिनका उद्देश्य सॉफ्टवेयर के एक हिस्से को बनाने वाले सभी घटकों की दृश्यता प्रदान करना है। वे एक विस्तृत, मशीन-पठनीय सूची प्रदान करते हैं जो सॉफ्टवेयर के निर्माण में उपयोग किए जाने वाले सभी ओपन सोर्स और थर्ड-पार्टी लाइब्रेरी, निर्भरता और घटकों को सूचीबद्ध करती है।

चाहे कोई संगठन EO 14028 द्वारा बाध्य हो या न हो, सॉफ़्टवेयर आर्टिफ़ैक्ट के लिए SBOM बनाना और प्रबंधित करना एक मूल्यवान अभ्यास है। SBOM घटक समस्याओं या शून्य-दिन की कमज़ोरियों को दूर करने के लिए एक अपरिहार्य उपकरण हैं। खोज योग्य रिपॉजिटरी में संग्रहीत होने पर, SBOM एक मानचित्र प्रदान करते हैं जहाँ एक विशिष्ट निर्भरता मौजूद है और सुरक्षा टीमों को प्रभावित घटकों में कमज़ोरियों का तुरंत पता लगाने में सक्षम बनाता है।

पॉलिसी-एज़-कोड के साथ सॉफ्टवेयर विकास जीवनचक्र को नियंत्रित करें

आधुनिक एप्लिकेशन डेवलपमेंट की दुनिया में, सुरक्षा और अनुपालन से समझौता करने वाली त्रुटियों और जानबूझकर की गई कार्रवाइयों को खत्म करने के लिए रॉक-सॉलिड गार्डरेल एक आवश्यक उपकरण है। पूरे सॉफ़्टवेयर सप्लाई चेन में उचित शासन का मतलब है कि संगठन ने सही काम करना आसान बना दिया है और गलत काम करना बेहद मुश्किल बना दिया है।

जबकि कई प्लेटफ़ॉर्म और उपकरण ऐसी आउट-ऑफ़-द-बॉक्स नीतियाँ प्रदान करते हैं जिन्हें तुरंत लागू किया जा सकता है, ओपन पॉलिसी एजेंट उद्योग मानक पर आधारित पॉलिसी-एज़-कोड पूरी तरह से अनुकूलन योग्य नीतियों को लिखने और लागू करने में सक्षम बनाता है। आपूर्तिकर्ता, संस्करण, पैकेज URL और लाइसेंस जैसे मानदंडों के आधार पर OSS निर्भरताओं के उपयोग की अनुमति देने या अस्वीकार करने से लेकर पहुँच विशेषाधिकारों तक सब कुछ नियंत्रित करने वाली नीतियाँ।

SLSA का उपयोग करके अपने सॉफ्टवेयर आर्टिफैक्ट्स में विश्वास को सत्यापित और सुनिश्चित करने में सक्षम बनें

उपयोगकर्ता और उपभोक्ता कैसे जान सकते हैं कि सॉफ़्टवेयर का कोई भाग विश्वसनीय है? सॉफ़्टवेयर आर्टिफ़ैक्ट की विश्वसनीयता निर्धारित करने में, आप यह जानना चाहेंगे कि कोड किसने लिखा, इसे किसने बनाया और इसे किस डेवलपमेंट प्लेटफ़ॉर्म पर बनाया गया। यह जानना भी कुछ ऐसा है जो आपको जानना चाहिए कि इसमें कौन से घटक हैं।

सॉफ़्टवेयर पर भरोसा करना है या नहीं, यह निर्णय लेना तभी संभव है जब प्रोवेंस – सॉफ़्टवेयर की उत्पत्ति और कस्टडी की श्रृंखला का रिकॉर्ड – सत्यापित किया जा सके। इसके लिए, सॉफ्टवेयर आर्टिफैक्ट्स (एसएलएसए) फ्रेमवर्क के लिए आपूर्ति श्रृंखला स्तर बनाया गया था। यह सॉफ्टवेयर-उत्पादक संगठनों को सॉफ्टवेयर आपूर्ति श्रृंखला के किसी भी पहलू के बारे में जानकारी प्राप्त करने, कलाकृतियों और उनके निर्माण के गुणों को सत्यापित करने और सुरक्षा मुद्दों के जोखिम को कम करने की क्षमता देता है। व्यवहार में, सॉफ्टवेयर-उत्पादक संगठनों के लिए SLSA फ्रेमवर्क आवश्यकताओं को अपनाना और उनका पालन करना और सॉफ्टवेयर सत्यापन को सत्यापित करने और उत्पन्न करने का एक तरीका लागू करना आवश्यक है जो उनके सॉफ्टवेयर आपूर्ति श्रृंखलाओं में सॉफ्टवेयर कलाकृतियों के बारे में प्रमाणित कथन (मेटाडेटा) हैं।

आधुनिक सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने की मात्रा और जटिलता को देखते हुए, उपरोक्त मार्गदर्शन केवल सतह को खरोंचता है। लेकिन आधुनिक अनुप्रयोगों के निर्माण और तैनाती की दुनिया में बाकी सब चीजों की तरह, यह अभ्यास तेजी से विकसित हो रहा है। आरंभ करने में आपकी सहायता के लिए, हम पढ़ने की सलाह देते हैं सॉफ़्टवेयर को सुरक्षित रूप से कैसे वितरित करें – आपकी सुरक्षा स्थिति को मजबूत करने और आपके व्यवसाय के लिए जोखिम को कम करने के लिए डिज़ाइन की गई सर्वोत्तम प्रथाओं से भरी एक ईबुक।