Търсене
Close this search box.

4 принципа за създаване на нов план за разработване на сигурен софтуер

Подобряването на сигурността на процеса на разработване на софтуер е от ключово значение за предотвратяването на инциденти

Професионалните и спонсорираните от държавата хакерски групи посвещават все повече време, пари и усилия на киберпрестъпленията с всяка изминала година. Авторите на заплахите използват нови техники в нови видове атаки, които някои от най-добрите експерти по киберсигурност в света не са виждали досега. Окуражени и добре финансирани, лошите  вече разполагат с ресурсите да атакуват не само големи корпорации, чийто успешен пробив може да бъде изключително доходоносен, но и по-малки организации. Неотдавнашно проучване на университета Дюк установи, че зашеметяващите 85 % от анкетираните средни компании в различни сектори съобщават, че системите им са били успешно пробити в някакъв момент, въпреки че много от тези организации потенциално са следвали отдавна установени най-добри практики.

Една от индустриите, в които  заплахите са съсредоточени, е разработването на компютърен софтуер. Тъй като разчитаме на софтуера почти постоянно в личния и професионалния си живот, от решаващо значение за компаниите е да разполагат с процеси, които да им помогнат да гарантират, че софтуерът им е безопасен, и да останат крачка напред пред хакерите и непредвидимите заплахи.

В SolarWinds помагаме за създаването на по-сигурно разработване на софтуер с нашата система за изграждане от следващо поколение, която използва процес на паралелно изграждане за разработване на софтуер в множество сигурни, дублиращи се и ефимерни среди. За да помогнем за защитата на цялата индустрия срещу бъдещи заплахи, ние пускаме компоненти на тази система за изграждане като отворен код, така че други компании да могат да се възползват от това, което сме създали.

Ето четири ръководни принципа на системата за изграждане от следващо поколение, които компаниите могат да обмислят да приемат. В съчетание с публично-частното сътрудничество и обмена на информация, свързана със заплахите, тези принципи могат да помогнат на организациите да подобрят сигурността в условията на повишени рискове.

Изграждане на системи, изградени с код, които се самоунищожават

За да защитят процеса на разработване на софтуер, организациите трябва да внедрят системи, които не оставят дълготрайни среди. Това е от решаващо значение, тъй като зрелите среди и системите за изграждане могат да съдържат по-сериозни уязвимости и остарели компоненти, приканвайки нападателите към по-лесна възможност за атака.

Организациите могат да намалят тези уязвимости, като разработват продукти в среди за изграждане на софтуер с кратък срок на годност, което означава, че те се самоунищожават след приключване на всяка задача. По този начин се премахва възможността нападателите да създадат „домашна база“ в системите, което значително затруднява опитите за атака от страна на извършителите на заплахите.

Наличието на система за изграждане, базирана на код, дава възможност за модела на краткосрочно самоунищожение и осигурява предпазни мерки и създаване на версии за компонентите за изграждане.

Този метод на разработка изисква строго контролиран процес и организирано ръководство, тъй като организациите трябва да изолират, административно да разделят и внимателно да наблюдават системите за изграждане.

Възпроизводимостта е от ключово значение

Когато става въпрос за разработване на софтуер, възпроизводимостта е от ключово значение за гарантиране на сигурността на компилацията. Предпоставката за възпроизводимостта е, че екипът за разработка може да изгради софтуер на едно място и да го възстанови на друга система или по друго време със същия резултат.

Като разчитат на възпроизводими компилации, разработчиците могат да гарантират, че техният софтуер се държи по един и същ начин, като се премахват различията в кода, идентифицират се аномалии и се предотвратяват прониквания. С възпроизводими компилации компаниите за разработка на софтуер могат да възпроизвеждат грешки, за да ги разберат по-добре и да ги отстранят, както и да идентифицират всички неразрешени корекции в конвейера за компилации.

Възпроизводимата компилация е от решаващо значение, тъй като тя също така позволява на разработчиците на софтуер да сравняват крайния резултат от изходния код, за да се уверят, че той е един и същ, независимо от това къде или кога е създадена компилацията. Това е от решаващо значение за следващата стъпка от процеса: паралелното изграждане.

Паралелно изграждане

Друг начин за укрепване на целостта на процеса на разработване на софтуер е така нареченият „паралелен процес на изграждане“. За постигане на максимална сигурност това означава използване на три логически конвейера за изграждане: разработчик, етапна проверка и производство. Всички компилации трябва да отговарят на характеристиките, описани по-горе.

Конвейерът за разработчици извършва нормални инженерни компилации. Достъпът до средата за изграждане е необходим за повечето инженерни дейности. Изграждането на staging/validation има ограничен достъп. Освен че извършва компилация, там се провеждат и тестове за качество, сигурност и производителност.

Последният конвейер е производственият конвейер. Достъпът до този конвейер е изключително ограничен. Само няколко предварително определени лица имат достъп. Преди изпращане от производствения конвейер се извършва сравнение с конвейера за стациониране. Моделът за изграждане използва подхода на предполагаемо нарушение, което означава, че едно компрометирано лице не може самостоятелно да компрометира производствената изработка.

Тези паралелни среди имат по една входна точка и са независими среди, като намаляват уязвимостта чрез фокусиране на потенциалната заплаха върху една среда. Ако една от тях е компрометирана, усилията за атака имат малка вероятност да бъдат възпроизведени в останалите две среди.

Проследете стъпките си

Проследимостта е последният принцип, който е от решаващо значение за осигуряване на сигурен процес на изграждане. От ключово значение е да се проверява всяка стъпка на изграждане чрез процес на проследяване, който можете да проверите преди пускането на софтуера. Това изисква подписване от инженерите и ръководството за всеки проект, преминаващ през конвейера.

Идеята е да се наблюдава внимателно всяка стъпка, като се проверява дали всеки код съответства и е правилно изпълнен, както и дали има ясна, проследима история, за да се разберат всички грешки или отклонения. Добавянето на човешка проверка преди пускането в производство помага да се гарантира, че са предприети всички подходящи стъпки за осигуряване на качество и сигурност.

Пейзажът на киберсигурността непрекъснато се променя. Всеки ден се появяват нови заплахи ито мотивирани и  добре финансирани хакери. Подобряването на сигурността на процеса на разработване на софтуер е ключова част от осуетяването и ограничаването на тези нападатели. Насърчаваме индустрията да възприеме тези принципи, да бъде по-открита по отношение на сигурността и да споделя информация и най-добри практики, за да подобри сигурността на индустрията като цяло.

 

Автор: Тим Браун, CISO и вицепрезидент по сигурността, SolarWinds

Източник: DARKReading

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
Бъдете социални
Още по темата
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!