Подобряването на сигурността на процеса на разработване на софтуер е от ключово значение за предотвратяването на инциденти

Професионалните и спонсорираните от държавата хакерски групи посвещават все повече време, пари и усилия на киберпрестъпленията с всяка изминала година. Авторите на заплахите използват нови техники в нови видове атаки, които някои от най-добрите експерти по киберсигурност в света не са виждали досега. Окуражени и добре финансирани, лошите  вече разполагат с ресурсите да атакуват не само големи корпорации, чийто успешен пробив може да бъде изключително доходоносен, но и по-малки организации. Неотдавнашно проучване на университета Дюк установи, че зашеметяващите 85 % от анкетираните средни компании в различни сектори съобщават, че системите им са били успешно пробити в някакъв момент, въпреки че много от тези организации потенциално са следвали отдавна установени най-добри практики.

Една от индустриите, в които  заплахите са съсредоточени, е разработването на компютърен софтуер. Тъй като разчитаме на софтуера почти постоянно в личния и професионалния си живот, от решаващо значение за компаниите е да разполагат с процеси, които да им помогнат да гарантират, че софтуерът им е безопасен, и да останат крачка напред пред хакерите и непредвидимите заплахи.

В SolarWinds помагаме за създаването на по-сигурно разработване на софтуер с нашата система за изграждане от следващо поколение, която използва процес на паралелно изграждане за разработване на софтуер в множество сигурни, дублиращи се и ефимерни среди. За да помогнем за защитата на цялата индустрия срещу бъдещи заплахи, ние пускаме компоненти на тази система за изграждане като отворен код, така че други компании да могат да се възползват от това, което сме създали.

Ето четири ръководни принципа на системата за изграждане от следващо поколение, които компаниите могат да обмислят да приемат. В съчетание с публично-частното сътрудничество и обмена на информация, свързана със заплахите, тези принципи могат да помогнат на организациите да подобрят сигурността в условията на повишени рискове.

Изграждане на системи, изградени с код, които се самоунищожават

За да защитят процеса на разработване на софтуер, организациите трябва да внедрят системи, които не оставят дълготрайни среди. Това е от решаващо значение, тъй като зрелите среди и системите за изграждане могат да съдържат по-сериозни уязвимости и остарели компоненти, приканвайки нападателите към по-лесна възможност за атака.

Организациите могат да намалят тези уязвимости, като разработват продукти в среди за изграждане на софтуер с кратък срок на годност, което означава, че те се самоунищожават след приключване на всяка задача. По този начин се премахва възможността нападателите да създадат „домашна база“ в системите, което значително затруднява опитите за атака от страна на извършителите на заплахите.

Наличието на система за изграждане, базирана на код, дава възможност за модела на краткосрочно самоунищожение и осигурява предпазни мерки и създаване на версии за компонентите за изграждане.

Този метод на разработка изисква строго контролиран процес и организирано ръководство, тъй като организациите трябва да изолират, административно да разделят и внимателно да наблюдават системите за изграждане.

Възпроизводимостта е от ключово значение

Когато става въпрос за разработване на софтуер, възпроизводимостта е от ключово значение за гарантиране на сигурността на компилацията. Предпоставката за възпроизводимостта е, че екипът за разработка може да изгради софтуер на едно място и да го възстанови на друга система или по друго време със същия резултат.

Като разчитат на възпроизводими компилации, разработчиците могат да гарантират, че техният софтуер се държи по един и същ начин, като се премахват различията в кода, идентифицират се аномалии и се предотвратяват прониквания. С възпроизводими компилации компаниите за разработка на софтуер могат да възпроизвеждат грешки, за да ги разберат по-добре и да ги отстранят, както и да идентифицират всички неразрешени корекции в конвейера за компилации.

Възпроизводимата компилация е от решаващо значение, тъй като тя също така позволява на разработчиците на софтуер да сравняват крайния резултат от изходния код, за да се уверят, че той е един и същ, независимо от това къде или кога е създадена компилацията. Това е от решаващо значение за следващата стъпка от процеса: паралелното изграждане.

Паралелно изграждане

Друг начин за укрепване на целостта на процеса на разработване на софтуер е така нареченият „паралелен процес на изграждане“. За постигане на максимална сигурност това означава използване на три логически конвейера за изграждане: разработчик, етапна проверка и производство. Всички компилации трябва да отговарят на характеристиките, описани по-горе.

Конвейерът за разработчици извършва нормални инженерни компилации. Достъпът до средата за изграждане е необходим за повечето инженерни дейности. Изграждането на staging/validation има ограничен достъп. Освен че извършва компилация, там се провеждат и тестове за качество, сигурност и производителност.

Последният конвейер е производственият конвейер. Достъпът до този конвейер е изключително ограничен. Само няколко предварително определени лица имат достъп. Преди изпращане от производствения конвейер се извършва сравнение с конвейера за стациониране. Моделът за изграждане използва подхода на предполагаемо нарушение, което означава, че едно компрометирано лице не може самостоятелно да компрометира производствената изработка.

Тези паралелни среди имат по една входна точка и са независими среди, като намаляват уязвимостта чрез фокусиране на потенциалната заплаха върху една среда. Ако една от тях е компрометирана, усилията за атака имат малка вероятност да бъдат възпроизведени в останалите две среди.

Проследете стъпките си

Проследимостта е последният принцип, който е от решаващо значение за осигуряване на сигурен процес на изграждане. От ключово значение е да се проверява всяка стъпка на изграждане чрез процес на проследяване, който можете да проверите преди пускането на софтуера. Това изисква подписване от инженерите и ръководството за всеки проект, преминаващ през конвейера.

Идеята е да се наблюдава внимателно всяка стъпка, като се проверява дали всеки код съответства и е правилно изпълнен, както и дали има ясна, проследима история, за да се разберат всички грешки или отклонения. Добавянето на човешка проверка преди пускането в производство помага да се гарантира, че са предприети всички подходящи стъпки за осигуряване на качество и сигурност.

Пейзажът на киберсигурността непрекъснато се променя. Всеки ден се появяват нови заплахи ито мотивирани и  добре финансирани хакери. Подобряването на сигурността на процеса на разработване на софтуер е ключова част от осуетяването и ограничаването на тези нападатели. Насърчаваме индустрията да възприеме тези принципи, да бъде по-открита по отношение на сигурността и да споделя информация и най-добри практики, за да подобри сигурността на индустрията като цяло.

 

Автор: Тим Браун, CISO и вицепрезидент по сигурността, SolarWinds

Източник: DARKReading

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!