4 принципа за създаване на нов план за разработване на сигурен софтуер

Подобряването на сигурността на процеса на разработване на софтуер е от ключово значение за предотвратяването на инциденти

Професионалните и спонсорираните от държавата хакерски групи посвещават все повече време, пари и усилия на киберпрестъпленията с всяка изминала година. Авторите на заплахите използват нови техники в нови видове атаки, които някои от най-добрите експерти по киберсигурност в света не са виждали досега. Окуражени и добре финансирани, лошите  вече разполагат с ресурсите да атакуват не само големи корпорации, чийто успешен пробив може да бъде изключително доходоносен, но и по-малки организации. Неотдавнашно проучване на университета Дюк установи, че зашеметяващите 85 % от анкетираните средни компании в различни сектори съобщават, че системите им са били успешно пробити в някакъв момент, въпреки че много от тези организации потенциално са следвали отдавна установени най-добри практики.

Една от индустриите, в които  заплахите са съсредоточени, е разработването на компютърен софтуер. Тъй като разчитаме на софтуера почти постоянно в личния и професионалния си живот, от решаващо значение за компаниите е да разполагат с процеси, които да им помогнат да гарантират, че софтуерът им е безопасен, и да останат крачка напред пред хакерите и непредвидимите заплахи.

В SolarWinds помагаме за създаването на по-сигурно разработване на софтуер с нашата система за изграждане от следващо поколение, която използва процес на паралелно изграждане за разработване на софтуер в множество сигурни, дублиращи се и ефимерни среди. За да помогнем за защитата на цялата индустрия срещу бъдещи заплахи, ние пускаме компоненти на тази система за изграждане като отворен код, така че други компании да могат да се възползват от това, което сме създали.

Ето четири ръководни принципа на системата за изграждане от следващо поколение, които компаниите могат да обмислят да приемат. В съчетание с публично-частното сътрудничество и обмена на информация, свързана със заплахите, тези принципи могат да помогнат на организациите да подобрят сигурността в условията на повишени рискове.

Изграждане на системи, изградени с код, които се самоунищожават

За да защитят процеса на разработване на софтуер, организациите трябва да внедрят системи, които не оставят дълготрайни среди. Това е от решаващо значение, тъй като зрелите среди и системите за изграждане могат да съдържат по-сериозни уязвимости и остарели компоненти, приканвайки нападателите към по-лесна възможност за атака.

Организациите могат да намалят тези уязвимости, като разработват продукти в среди за изграждане на софтуер с кратък срок на годност, което означава, че те се самоунищожават след приключване на всяка задача. По този начин се премахва възможността нападателите да създадат „домашна база“ в системите, което значително затруднява опитите за атака от страна на извършителите на заплахите.

Наличието на система за изграждане, базирана на код, дава възможност за модела на краткосрочно самоунищожение и осигурява предпазни мерки и създаване на версии за компонентите за изграждане.

Този метод на разработка изисква строго контролиран процес и организирано ръководство, тъй като организациите трябва да изолират, административно да разделят и внимателно да наблюдават системите за изграждане.

Възпроизводимостта е от ключово значение

Когато става въпрос за разработване на софтуер, възпроизводимостта е от ключово значение за гарантиране на сигурността на компилацията. Предпоставката за възпроизводимостта е, че екипът за разработка може да изгради софтуер на едно място и да го възстанови на друга система или по друго време със същия резултат.

Като разчитат на възпроизводими компилации, разработчиците могат да гарантират, че техният софтуер се държи по един и същ начин, като се премахват различията в кода, идентифицират се аномалии и се предотвратяват прониквания. С възпроизводими компилации компаниите за разработка на софтуер могат да възпроизвеждат грешки, за да ги разберат по-добре и да ги отстранят, както и да идентифицират всички неразрешени корекции в конвейера за компилации.

Възпроизводимата компилация е от решаващо значение, тъй като тя също така позволява на разработчиците на софтуер да сравняват крайния резултат от изходния код, за да се уверят, че той е един и същ, независимо от това къде или кога е създадена компилацията. Това е от решаващо значение за следващата стъпка от процеса: паралелното изграждане.

Паралелно изграждане

Друг начин за укрепване на целостта на процеса на разработване на софтуер е така нареченият „паралелен процес на изграждане“. За постигане на максимална сигурност това означава използване на три логически конвейера за изграждане: разработчик, етапна проверка и производство. Всички компилации трябва да отговарят на характеристиките, описани по-горе.

Конвейерът за разработчици извършва нормални инженерни компилации. Достъпът до средата за изграждане е необходим за повечето инженерни дейности. Изграждането на staging/validation има ограничен достъп. Освен че извършва компилация, там се провеждат и тестове за качество, сигурност и производителност.

Последният конвейер е производственият конвейер. Достъпът до този конвейер е изключително ограничен. Само няколко предварително определени лица имат достъп. Преди изпращане от производствения конвейер се извършва сравнение с конвейера за стациониране. Моделът за изграждане използва подхода на предполагаемо нарушение, което означава, че едно компрометирано лице не може самостоятелно да компрометира производствената изработка.

Тези паралелни среди имат по една входна точка и са независими среди, като намаляват уязвимостта чрез фокусиране на потенциалната заплаха върху една среда. Ако една от тях е компрометирана, усилията за атака имат малка вероятност да бъдат възпроизведени в останалите две среди.

Проследете стъпките си

Проследимостта е последният принцип, който е от решаващо значение за осигуряване на сигурен процес на изграждане. От ключово значение е да се проверява всяка стъпка на изграждане чрез процес на проследяване, който можете да проверите преди пускането на софтуера. Това изисква подписване от инженерите и ръководството за всеки проект, преминаващ през конвейера.

Идеята е да се наблюдава внимателно всяка стъпка, като се проверява дали всеки код съответства и е правилно изпълнен, както и дали има ясна, проследима история, за да се разберат всички грешки или отклонения. Добавянето на човешка проверка преди пускането в производство помага да се гарантира, че са предприети всички подходящи стъпки за осигуряване на качество и сигурност.

Пейзажът на киберсигурността непрекъснато се променя. Всеки ден се появяват нови заплахи ито мотивирани и  добре финансирани хакери. Подобряването на сигурността на процеса на разработване на софтуер е ключова част от осуетяването и ограничаването на тези нападатели. Насърчаваме индустрията да възприеме тези принципи, да бъде по-открита по отношение на сигурността и да споделя информация и най-добри практики, за да подобри сигурността на индустрията като цяло.

 

Автор: Тим Браун, CISO и вицепрезидент по сигурността, SolarWinds

Източник: DARKReading

Подобни публикации

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
Бъдете социални
Още по темата
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
25/05/2023

Справяне с недостига на тал...

  Нуждата от квалифициран персонал за...
22/05/2023

Платформата, която поддържа...

Години наред зловредна платформа се използва...
Последно добавени
31/05/2023

Как да избегнете прегарянет...

Въпреки че кибератаките се увеличават през...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!