زنجیره تامین نرم‌افزار: تهدیدهای جدید نیازمند اقدامات امنیتی جدید هستند


آیا نتوانستید در Transform 2022 شرکت کنید؟ اکنون تمام جلسات اجلاس را در کتابخانه درخواستی ما بررسی کنید! اینجا را تماشا کنید.


زنجیره تامین نرم افزار معاصر از اجزای بسیاری تشکیل شده است که در توسعه آن نقش دارند: افراد، فرآیندها، وابستگی ها، ابزارها.

این بسیار فراتر از کد برنامه است – معمولاً تمرکز اصلی ابزارهای DevSecOps موجود است.

بنابراین، زنجیره تامین نرم افزار پیچیده امروزی نیازمند یک روش امنیتی کاملاً جدید است. اما مشکل این است که بسیاری از سازمان‌ها نه تنها برای تامین امنیت زنجیره‌های تامین نرم‌افزار خود تلاش می‌کنند، بلکه برای شناسایی آنها تلاش می‌کنند.

کیتی نورتون، تحلیلگر ارشد IDC برای devops و DevSecOps گفت: «چالش ایمن سازی زنجیره تأمین نرم افزار تقریباً برای هر سازمانی مهم و پیچیده است. و بسیاری از نقاط ورود به زنجیره تامین نرم‌افزار خطر قابل توجهی را تشکیل می‌دهند که در بسیاری از سازمان‌ها بی‌حساب مانده است.

رویداد

MetaBeat 2022

MetaBeat رهبران فکری را گرد هم می‌آورد تا راهنمایی کنند که چگونه فن‌آوری متاورس نحوه برقراری ارتباط و انجام تجارت همه صنایع را در 4 اکتبر در سانفرانسیسکو، کالیفرنیا تغییر خواهد داد.

اینجا ثبت نام کنید

یک رویکرد جدید

برای رسیدگی به این مشکل رو به رشد، Chainguard امروز Wolfi را معرفی کرد، یک جامعه جدید توزیع (غیر) لینوکس. این جنبه‌های تصاویر پایه کانتینر موجود را با اقدامات امنیتی پیش‌فرض ترکیب می‌کند که شامل امضاهای نرم‌افزاری ارائه‌شده توسط Sigstore، منشأ و صورت‌حساب‌های نرم‌افزاری مواد (SBOM) می‌شود.

این شرکت همچنین Chainguard Academy را معرفی می کند، اولین پلتفرم آموزشی رایگان، متن باز و تعاملی که برای امنیت زنجیره تامین نرم افزار طراحی شده است. علاوه بر این، پلت فرم Chainguard Enforce آن اکنون به طور کلی در دسترس است.

دان لورنک، بنیانگذار و مدیر عامل Chainguard، گفت: «یکی از بزرگترین تهدیدها برای ایمن سازی زنجیره تأمین نرم افزار، روشی است که ما امروزه نرم افزار می سازیم. ابزارهایی که ما برای ساختن نرم‌افزار استفاده می‌کنیم، برای سرعت و مقیاس استفاده از آن طراحی نشده‌اند، که منجر به معماری بدی می‌شود که برای بازیگران بد به راحتی قابل بهره‌برداری یا دستکاری است.»

دولت‌ها در سرتاسر جهان سؤال می‌پرسند و ضمانت‌هایی را در نرم‌افزار می‌خواهند. و در حالی که فروشندگان – چه موجود و چه جدید – در حال ارائه ابزار هستند، آنها نمی توانند مشکل عمیق تر را حل کنند: “نیاز به تغییر اساسی در روش ساخت نرم افزار.”

اما اول: شناسایی زنجیره تامین نرم افزار

آخرین گزارش IBM 2022 Cost of a Data Breach یکی از اولین تحلیل‌های امنیت زنجیره تامین را ارائه کرد که نشان می‌دهد نزدیک به یک پنجم سازمان‌ها به دلیل نقص در زنجیره تامین نرم‌افزار نقض شده‌اند.

نورتون گفت: یکی از بزرگترین موانع: به سادگی همه راه‌های مختلف را که بازیگران بد می‌توانند از زنجیره تامین نرم‌افزار سوء استفاده کنند، بشناسیم و شناسایی کنیم.

وقتی مردم می گویند “امنیت زنجیره تامین نرم افزار”، اغلب به سوء استفاده از آسیب پذیری های نرم افزار منبع باز مانند Log4Shell فکر می کنند. اما این تنها بخشی از سطح حمله است.

چند بردار حمله زنجیره تامین که نورتون شناسایی کرده است شامل پیکربندی‌های نادرست و اسرار رمزگذاری‌شده در زیرساخت به‌عنوان کد (IaC) و پیکربندی نادرست در خط لوله CI/CD است که می‌تواند اطلاعات حساس را افشا کند یا می‌تواند به عنوان نقطه ورودی برای فعالیت‌های مخرب استفاده شود. تهدید دیگر، اعتبار توسعه دهندگان به خطر افتاده است، که اغلب نتیجه حکمرانی ضعیف یا عدم به کارگیری اصول کمترین امتیاز است.

سپس ابزارها و تکنیک های هک هستند که به راحتی در وب در دسترس هستند. نورتون گفت: “مهارت های پیشرفته برای کسی که بتواند زنجیره تامین نرم افزار شرکت شما را نقض کند، لازم نیست.”

او گفت، خبر خوب این است که با افزایش موارد سوء استفاده – و همراه با آنها، افزایش آگاهی – بازار زنجیره تامین نرم افزار “یک حوزه در حال تکامل” است و رقبای جدیدی دائماً وارد این فضا می شوند.

ایجاد امنیت از ابتدا

همانطور که لورنک توضیح داد، بیشتر بارهای کاری امروزی بر روی کانتینرها و توزیع‌ها اجرا می‌شوند، برای دوران قبلی طراحی شده‌اند. این، همراه با خطرات امنیتی جدید زنجیره تامین، شکاف‌های بزرگی را هنگام اجرای کانتینرها آشکار کرده است.

او گفت، برای مثال، تصاویر کانتینر معمولاً از به‌روزرسانی‌های بالادست عقب هستند، به این معنی که کاربران بسته‌ها را به صورت دستی یا خارج از مدیران بسته نصب می‌کنند و تصاویری را با آسیب‌پذیری‌های شناخته شده اجرا می‌کنند. بسیاری از تصاویر کانتینر هیچ اطلاعاتی درباره منشأ ندارند، بنابراین تأیید اینکه از کجا آمده‌اند یا اینکه کسی آنها را دستکاری کرده است دشوار است. به طور طبیعی، این سطح حمله را افزایش می دهد.

لورنک گفت: «تنها راه برای حل این مشکلات، ساختن توزیعی است که برای محیط‌های بومی کانتینر/ابر طراحی شده است».

او گفت که Wolfi یک توزیع مخصوص کانتینر است که می‌تواند با حذف پشتیبانی از ویژگی‌های توزیع سنتی – و اغلب نامربوط، این فرآیند را “به شدت ساده” کند. همچنین به توسعه‌دهندگان اجازه می‌دهد تا ماهیت تغییرناپذیر کانتینرها را درک کنند و از به‌روزرسانی بسته‌ها به‌کلی اجتناب کنند، در عوض با نسخه‌های جدید از ابتدا بازسازی کنند.

لورنک گفت: “واقعیت این است که نرم افزار دارای آسیب پذیری هایی است و هرگز تغییر نخواهد کرد.” “و برای شروع بهبود امنیت زنجیره تامین نرم افزار، باید از جایی شروع کنیم که توسعه شروع می شود – با توسعه دهندگان – و ابزارهایی را ارائه کنیم که چرخه عمر توسعه را به طور پیش فرض ایمن می کند، از ساخت تا تولید.”

الزامات یک زنجیره تامین نرم افزار مدرن

به گفته لورنک، Wolfi تصاویر Chainguard را که با حداقل اجزا طراحی شده اند، برای کمک به کاهش سطح حمله سازمانی و تولید SBOM در زمان توسعه، فعال می کند. به طور پیش فرض کاملاً قابل تکرار است، به این معنی که هر بسته را می توان از کد منبع Chainguard بازسازی کرد.

او گفت: «این بدان معناست که یک کاربر همان بسته را دریافت خواهد کرد. همچنین به توسعه دهندگان این امکان را می دهد که تصاویری بسازند که “ضد دستکاری و قابل اعتماد” باشند.

او اشاره کرد که این شرکت در ابتدای ساخت نرم افزار یک SBOM تولید می کند – نه بعد از این واقعیت. این پایگاه به طور پیش‌فرض ایمن است، برای پشتیبانی از سازمان‌هایی که محیط‌های بزرگ را اجرا می‌کنند مقیاس می‌شود و کنترل لازم برای رفع اکثر تهدیدات زنجیره تامین مدرن را فراهم می‌کند.

لورنک گفت: “مهندسی معکوس SBOM ها کار نمی کند و هدف آنها را قبل از اینکه حتی بتوان به طور موثر مورد استفاده قرار داد، شکست خواهد داد.” “Wolfi به حل این مشکل کمک می کند.”

Chainguard Enforce نیز اکنون به طور کلی در دسترس است. پلت فرم مدیریت ریسک زنجیره تامین به عنوان یک برنامه دسترسی زودهنگام در ماه آوریل راه اندازی شد. اکنون شامل ویژگی‌های جدیدی مانند حالت بدون عامل، رابط کاربری بازطراحی شده با معیارهای امنیتی، گواهینامه SOC2 Type 1، سیاست‌های امنیتی و هشدار و ادغام با CloudEvents، OPA Gatekeeper و Styra، ارائه‌دهنده Terraform و Vault است.

دیدگاه جامع تر

نورتون گفت، در مجموع، سازمان‌ها باید به امنیت زنجیره تامین نرم‌افزار «به‌طور جامع‌تری نگاه کنند».

او گفت: «تمرکز تنها بر یک بعد از زنجیره تامین نرم‌افزار هم مقیاس‌ناپذیر و هم ناکافی است. “همه بردارهای حمله زنجیره تامین نرم افزار به هم مرتبط و وابسته هستند.”

بنابراین، علاوه بر ایمن سازی اجزای مستقل برنامه های خود، سازمان ها باید تمام نقاط ورود دیجیتال را به کارخانه های نرم افزاری خود قفل و محافظت کنند.

نورتون گفت: «ایمن کردن تنها یک نقطه ورود حمله برابر است با قفل کردن درب جلوی خانه در حالی که درب عقب را باز نگه دارید.

سازمان‌ها باید ابزارهای جامعی را بیابند که در طول چرخه عمر توسعه نرم‌افزار محافظت را فراهم کند. او گفت که DevSecOps تاسیس شده و فروشندگان تست امنیت برنامه به طور فزاینده ای امنیت زنجیره تامین نرم افزار را در پلتفرم های بزرگتر خود وارد می کنند، بنابراین سازمان ها باید به شرکای فعلی خود نگاه کنند تا توانایی های آنها را درک کنند. در عین حال، رشد سریع تعداد استارتاپ هایی که به این چالش حمله می کنند را نباید نادیده گرفت.

در آینده، رهنمودها و مقررات دولت ایالات متحده – مانند فرمان اجرایی بایدن در مورد بهبود امنیت سایبری کشور، راهنمایی های موسسه ملی استانداردها و فناوری (NIST) و دفتر مدیریت و بودجه یادداشت ها – نیروهای فوق العاده قدرتمندی خواهند بود. . او این موارد را به‌عنوان «مشارکت‌کننده مهمی در چگونگی تبدیل شدن سریع امنیت نرم‌افزار به زنجیره تأمین» می‌داند.

نورتون گفت: «این تنها تأمین‌کنندگان نرم‌افزار نیستند که به دولت می‌فروشند که تحت تأثیر قرار خواهند گرفت، بلکه تأثیرات پایین‌دستی نیز خواهد داشت». از آنجایی که تأمین‌کنندگان نرم‌افزار بیشتری این استانداردها را اتخاذ می‌کنند، سازمان‌های غیردولتی نیز انتظار همان دقت را خواهند داشت.»

آموزش حیاتی است

لیزا تاگلیافری، رئیس آموزش توسعه دهندگان Chainguard، گفت که تشدید بیشتر مسئله امنیت زنجیره تامین، فقدان آموزش جامع است. این مانعی برای پذیرش گسترده‌تر توصیه‌های امنیتی زنجیره تأمین نرم‌افزار است و به دلیل «چشم‌انداز فنی در حال تغییر» و فقدان ابزار منبع باز مانند Sigstore است.

این امر آکادمی Chainguard را برانگیخت که منابع آموزشی رایگان و روش‌های توصیه‌شده برای ابزار امنیتی زنجیره تامین نرم‌افزار را فراهم می‌کند.

گفت: «نیروی محرکه تلاش ما این بود که به مهندسان نرم‌افزار و رهبران فناوری منابعی را که برای شناسایی، کاهش و رفع آسیب‌پذیری‌های نرم‌افزار از طریق ابزارها و راه‌حل‌هایی نیاز دارند، ارائه کنیم که به آنها اجازه می‌دهد تا امنیت را در مراحل اولیه و اغلب در طول چرخه عمر توسعه‌شان بررسی کنند.» تاگلیافری.

آکادمی بر اساس تلاش‌های آموزشی قبلی این شرکت، از جمله امنیت زنجیره تامین نرم‌افزار با دوره Sigstore با مشارکت بنیاد لینوکس و edX است.

توسعه‌دهندگانی که از Chainguard Academy استفاده می‌کنند همچنین می‌توانند با Sigstore و تصاویر کانتینر بدون توزیع مستقیماً از مرورگرهای خود از طریق یک پایانه sandbox تعاملی کار کنند.

Tagliaferri گفت: “ما معتقدیم که بخش کلیدی ایمن سازی زنجیره تامین نرم افزار به طور پیش فرض کمک به رفع این شکاف مهارتی است.” برای دستیابی به این هدف، مهم بود که منابع آموزشی حیاتی را برای همه باز نگه داشتیم زیرا همه ما باید سهم خود را برای کمک به حل مشکل امنیت زنجیره تامین نرم افزار انجام دهیم.

ماموریت VentureBeat این است که یک میدان شهر دیجیتال برای تصمیم گیرندگان فنی باشد تا دانشی در مورد فناوری سازمانی متحول کننده کسب کنند و معامله کنند. جلسات توجیهی ما را کشف کنید.