Търсене
Close this search box.

Подобряването на сигурността на процеса на разработване на софтуер е от ключово значение за предотвратяването на инциденти

Професионалните и спонсорираните от държавата хакерски групи посвещават все повече време, пари и усилия на киберпрестъпленията с всяка изминала година. Авторите на заплахите използват нови техники в нови видове атаки, които някои от най-добрите експерти по киберсигурност в света не са виждали досега. Окуражени и добре финансирани, лошите  вече разполагат с ресурсите да атакуват не само големи корпорации, чийто успешен пробив може да бъде изключително доходоносен, но и по-малки организации. Неотдавнашно проучване на университета Дюк установи, че зашеметяващите 85 % от анкетираните средни компании в различни сектори съобщават, че системите им са били успешно пробити в някакъв момент, въпреки че много от тези организации потенциално са следвали отдавна установени най-добри практики.

Една от индустриите, в които  заплахите са съсредоточени, е разработването на компютърен софтуер. Тъй като разчитаме на софтуера почти постоянно в личния и професионалния си живот, от решаващо значение за компаниите е да разполагат с процеси, които да им помогнат да гарантират, че софтуерът им е безопасен, и да останат крачка напред пред хакерите и непредвидимите заплахи.

В SolarWinds помагаме за създаването на по-сигурно разработване на софтуер с нашата система за изграждане от следващо поколение, която използва процес на паралелно изграждане за разработване на софтуер в множество сигурни, дублиращи се и ефимерни среди. За да помогнем за защитата на цялата индустрия срещу бъдещи заплахи, ние пускаме компоненти на тази система за изграждане като отворен код, така че други компании да могат да се възползват от това, което сме създали.

Ето четири ръководни принципа на системата за изграждане от следващо поколение, които компаниите могат да обмислят да приемат. В съчетание с публично-частното сътрудничество и обмена на информация, свързана със заплахите, тези принципи могат да помогнат на организациите да подобрят сигурността в условията на повишени рискове.

Изграждане на системи, изградени с код, които се самоунищожават

За да защитят процеса на разработване на софтуер, организациите трябва да внедрят системи, които не оставят дълготрайни среди. Това е от решаващо значение, тъй като зрелите среди и системите за изграждане могат да съдържат по-сериозни уязвимости и остарели компоненти, приканвайки нападателите към по-лесна възможност за атака.

Организациите могат да намалят тези уязвимости, като разработват продукти в среди за изграждане на софтуер с кратък срок на годност, което означава, че те се самоунищожават след приключване на всяка задача. По този начин се премахва възможността нападателите да създадат „домашна база“ в системите, което значително затруднява опитите за атака от страна на извършителите на заплахите.

Наличието на система за изграждане, базирана на код, дава възможност за модела на краткосрочно самоунищожение и осигурява предпазни мерки и създаване на версии за компонентите за изграждане.

Този метод на разработка изисква строго контролиран процес и организирано ръководство, тъй като организациите трябва да изолират, административно да разделят и внимателно да наблюдават системите за изграждане.

Възпроизводимостта е от ключово значение

Когато става въпрос за разработване на софтуер, възпроизводимостта е от ключово значение за гарантиране на сигурността на компилацията. Предпоставката за възпроизводимостта е, че екипът за разработка може да изгради софтуер на едно място и да го възстанови на друга система или по друго време със същия резултат.

Като разчитат на възпроизводими компилации, разработчиците могат да гарантират, че техният софтуер се държи по един и същ начин, като се премахват различията в кода, идентифицират се аномалии и се предотвратяват прониквания. С възпроизводими компилации компаниите за разработка на софтуер могат да възпроизвеждат грешки, за да ги разберат по-добре и да ги отстранят, както и да идентифицират всички неразрешени корекции в конвейера за компилации.

Възпроизводимата компилация е от решаващо значение, тъй като тя също така позволява на разработчиците на софтуер да сравняват крайния резултат от изходния код, за да се уверят, че той е един и същ, независимо от това къде или кога е създадена компилацията. Това е от решаващо значение за следващата стъпка от процеса: паралелното изграждане.

Паралелно изграждане

Друг начин за укрепване на целостта на процеса на разработване на софтуер е така нареченият „паралелен процес на изграждане“. За постигане на максимална сигурност това означава използване на три логически конвейера за изграждане: разработчик, етапна проверка и производство. Всички компилации трябва да отговарят на характеристиките, описани по-горе.

Конвейерът за разработчици извършва нормални инженерни компилации. Достъпът до средата за изграждане е необходим за повечето инженерни дейности. Изграждането на staging/validation има ограничен достъп. Освен че извършва компилация, там се провеждат и тестове за качество, сигурност и производителност.

Последният конвейер е производственият конвейер. Достъпът до този конвейер е изключително ограничен. Само няколко предварително определени лица имат достъп. Преди изпращане от производствения конвейер се извършва сравнение с конвейера за стациониране. Моделът за изграждане използва подхода на предполагаемо нарушение, което означава, че едно компрометирано лице не може самостоятелно да компрометира производствената изработка.

Тези паралелни среди имат по една входна точка и са независими среди, като намаляват уязвимостта чрез фокусиране на потенциалната заплаха върху една среда. Ако една от тях е компрометирана, усилията за атака имат малка вероятност да бъдат възпроизведени в останалите две среди.

Проследете стъпките си

Проследимостта е последният принцип, който е от решаващо значение за осигуряване на сигурен процес на изграждане. От ключово значение е да се проверява всяка стъпка на изграждане чрез процес на проследяване, който можете да проверите преди пускането на софтуера. Това изисква подписване от инженерите и ръководството за всеки проект, преминаващ през конвейера.

Идеята е да се наблюдава внимателно всяка стъпка, като се проверява дали всеки код съответства и е правилно изпълнен, както и дали има ясна, проследима история, за да се разберат всички грешки или отклонения. Добавянето на човешка проверка преди пускането в производство помага да се гарантира, че са предприети всички подходящи стъпки за осигуряване на качество и сигурност.

Пейзажът на киберсигурността непрекъснато се променя. Всеки ден се появяват нови заплахи ито мотивирани и  добре финансирани хакери. Подобряването на сигурността на процеса на разработване на софтуер е ключова част от осуетяването и ограничаването на тези нападатели. Насърчаваме индустрията да възприеме тези принципи, да бъде по-открита по отношение на сигурността и да споделя информация и най-добри практики, за да подобри сигурността на индустрията като цяло.

 

Автор: Тим Браун, CISO и вицепрезидент по сигурността, SolarWinds

Източник: DARKReading

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!