छवि: राल्फ/एडोब स्टॉक सॉफ्टवेयर साइनिंग से लेकर कंटेनर इमेज तक, एक नए लिनक्स डिस्ट्रो तक, एक उभरता हुआ ओएसएस स्टैक डेवलपर्स को बिल्ड सिस्टम और सॉफ्टवेयर कलाकृतियों की अखंडता के प्रबंधन के लिए रेलिंग दे रहा है। SolarWinds और Log4j पांच अलार्म फायर थे जिन्होंने उद्योग को हमारे सॉफ्टवेयर कलाकृतियों और बिल्ड सिस्टम की असुरक्षा के लिए जगाया – तथाकथित “सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा” समस्या। लेकिन यह डेवलपर्स और सुरक्षा इंजीनियरिंग टीमों के लिए नेविगेट करने के लिए एक अस्पष्ट परिदृश्य रहा है जो अपने निर्माण वातावरण को बंद करने के लिए वास्तविक कदमों का पता लगाने की कोशिश कर रहे हैं।
व्हाइट हाउस का मई राष्ट्र की साइबर सुरक्षा में सुधार पर कार्यकारी आदेश में सॉफ्टवेयर बिल ऑफ मैटेरियल्स के आगमन की भविष्यवाणी की गई थी, जो अनिवार्य रूप से सामग्री की एक सूची है। एक सॉफ्टवेयर पैकेज के अंदर जो सरकारी प्रौद्योगिकी खरीद के लिए सत्यापन और प्रकटीकरण प्रक्रियाओं को स्थापित करेगा।
सभी सुरक्षा विक्रेताओं के सर्वोत्तम प्रयासों के बावजूद सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के इर्द-गिर्द अपने उत्पादों को सफ़ेद करना, यह अभी भी स्पष्ट नहीं है कि किसी को इन SBOMs का निर्माण या रखरखाव कैसे करना चाहिए। संघीय एजेंसियों के प्रमुखों को दिए गए हालिया मेमो केवल “सुरक्षित सॉफ्टवेयर विकास वातावरण के महत्व” को रेखांकित करते हैं, बिना किसी उपयोगी विस्तार के कि वहां कैसे पहुंचा जाए। )लेकिन लिनक्स, एक बार फिर, इस विवाद को सुलझाने में मदद कर सकता है। सर्वोत्तम प्रथाओं की तलाश में एक मुश्किल सुरक्षा डोमेन इतिहास से पता चलता है कि डेवलपर्स उन प्रक्रियाओं का पालन करेंगे जो सिस्टम को सुरक्षित करने से अनुमान लगाते हैं, लेकिन केवल तभी जब कोई स्पष्ट और निर्देशात्मक पथ हो जिसे न्यूनतम के साथ पालन किया जा सके उनके कामकाज में व्यवधान। उदाहरण के लिए, लेट्स एनक्रिप्ट एक सर्टिफिकेट अथॉरिटी है जिसने ट्रांसपोर्ट लेयर सिक्योरिटी में पहले एक भ्रमित और बोझिल क्षेत्र को हल करना आसान बना दिया था। Let’s Encrypt ने बड़े पैमाने पर डेवलपर को अपनाया और बहुत ही कम समय में अधिकांश वेब के लिए TLS को लॉक कर दिया। देखें: इस डार्क वेब मॉनिटरिंग सर्विस (TechRepublic Academy) के साथ अपने व्यवसाय को साइबर अपराध से बचाएं लेकिन यह सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समस्या टीएलएस की तुलना में बहुत अधिक बारीक है। यह बिल्ड सिस्टम, सीआई/सीडी, प्रोग्रामिंग भाषाओं और उनकी रजिस्ट्रियों, डेवलपर्स द्वारा उपयोग किए जाने वाले सभी ढांचे और उनकी हिरासत की श्रृंखला को छूता है। इस चुनौती के केंद्र में ओपन सोर्स सॉफ्टवेयर की सर्वव्यापकता है, ओएसएस फ्रेमवर्क की संक्रमणीय प्रकृति डेवलपर्स द्वारा बनाए जा रहे सभी सिस्टमों में साझा की जा रही है और समर्थन की कमी है जो व्यापक रूप से लोकप्रिय ओएसएस परियोजनाओं को आम तौर पर प्राप्त होती है।
समस्या की गंभीरता के बारे में बहुत सारे गले साफ हो गए हैं और जोर से उद्घोषणाएं हुई हैं। लेकिन एक डेवलपर या सुरक्षा इंजीनियर को वास्तव में क्या करना चाहिए?
एक उभरते हुए ढेर से एक नया जवाब इस सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा चुनौती को हल करने वाली समस्या पर पैसा फेंकने की कोई राशि नहीं है और ओएसएस अनुरक्षकों को सही (सुरक्षित) करने के लिए प्रोत्साहित करने की जटिलता ) चीज़। सॉफ़्टवेयर आपूर्ति श्रृंखलाओं को बंद करने की प्रक्रिया की रक्षा करते हुए, डेवलपर्स के हाथों में सुरक्षा डालने वाले सही उपकरण की आवश्यकता है। हाल ही में महीनों, इस सॉफ्टवेयर आपूर्ति श्रृंखला चुनौती के प्रमुख पहलुओं से निपटने वाली ओपन सोर्स परियोजनाओं में तेजी आई है। एक नया स्टैक बन रहा है, और मेरा मानना है कि हम सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के बारे में सैद्धांतिक बातचीत को वास्तविक कार्यान्वयन और सर्वोत्तम प्रथाओं के शोधन में देखने वाले हैं।
सबसे पहले, सिगस्टोर, Google पर मूल के साथ एक ओपन सोर्स प्रोजेक्ट, सॉफ्टवेयर साइनिंग और कलाकृतियों के लिए विश्वास की जड़ों पर केंद्रित है, यह वास्तविक तरीका बन गया है कि सभी तीन शीर्ष प्रोग्रामिंग भाषा रजिस्ट्रियां आधिकारिक तौर पर उपयोग कर रही हैं। गिटहब ने हाल ही में घोषणा की कि यह जावास्क्रिप्ट के एनपीएम पैकेज के लिए सिगस्टोर का उपयोग कर रहा है, पायथन अपनी पीपीपीआई रजिस्ट्री के लिए सिगस्टोर का उपयोग कर रहा है, और जावा मेवेन के लिए सिगस्टोर का उपयोग कर रहा है। इस गर्मी की शुरुआत में, कुबेरनेट्स ने सिगस्टोर के साथ भी शिप किया था। ढांचे के रूप में अपनाना जो सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा को लॉक करने की प्रक्रिया को स्पष्ट रूप से निर्देशित करता है। अपनी हालिया रिपोर्ट में, डेवलपर्स के लिए सॉफ्टवेयर सप्लाई चेन गाइड को सुरक्षित करना, यूएस नेशनल सिक्योरिटी हैवीवेट NSA, CISA और ODNI ने SLSA और SSDF को संदर्भित किया 513 और क्रमशः। वोल्फी नामक एक नया डिस्ट्रो पहेली का एक महत्वपूर्ण नया टुकड़ा साबित हो सकता है। बचाव के लिए लिनक्स, फिर से डैन लोरेन्क और किम लेवांडोव्स्की सिगस्टोर, एसएलएसए और संबंधित ओपन सोर्स प्रयासों के पीछे गतिशील जोड़ी हैं जिन्हें उन्होंने अपनी औपचारिक भूमिकाओं में सह-निर्मित किया गूगल। स्टार्टअप पर डिफ़ॉल्ट रूप से सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित बनाने के मिशन के साथ, उन्होंने चैनगार्ड की सह-स्थापना की। आज उन्होंने सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए निर्मित पहला लिनक्स वितरण उद्देश्य लॉन्च किया: वोल्फी। देखें: पासवर्ड उल्लंघन: पॉप संस्कृति और पासवर्ड मिश्रण क्यों नहीं करते (मुफ्त पीडीएफ) (TechRepublic) एक नया वितरण क्यों? यह वास्तव में उबाल जाता है कि महत्वपूर्ण कमजोरियों और एक्सपोजर के मौजूदा दृष्टिकोण में एक बड़ा अंधा स्थान है। Linux वितरण और पैकेज प्रबंधक अक्सर सॉफ़्टवेयर पैकेज के नवीनतम संस्करणों को वितरित नहीं करते हैं, और डेवलपर्स अक्सर इन सीमाओं के बाहर एप्लिकेशन इंस्टॉल कर रहे हैं। कंटेनरों के उदय और मौजूदा वितरण की तुलना में आधुनिक अनुप्रयोगों को बहुत तेजी से जारी करने की क्षमता ने भी अपने स्वयं के लिनक्स कर्नेल की मेजबानी करने वाले उपयोगकर्ताओं की संख्या में वृद्धि की है। सुरक्षा विक्रेताओं द्वारा उपयोग किए जाने वाले स्कैनर इन कंटेनर छवियों को नहीं ढूंढ सकते हैं यदि वे पैकेज प्रबंधकों या डिस्ट्रो के बाहर स्थापित किए गए थे, और इसलिए उनके अंदर कमजोरियों की एक पूरी श्रेणी को याद करते हैं। यह क्यों मायने रखता है कि आप स्पष्ट रूप से सॉफ़्टवेयर कलाकृतियों की सुरक्षा को माप नहीं सकते हैं जिन्हें आप नहीं जानते कि आपके वातावरण में चल रहे हैं – यह पाठ Log4j भेद्यता के बड़े आउटपुट में से एक था जिसमें डेवलपर्स थे और सुरक्षा इंजीनियर पांव मार रहे हैं। वुल्फी का लक्ष्य इसे ठीक करना है। वोल्फी एक अवितरण है जिसे चैनगार्ड ने SBOMs के साथ स्रोत से बनाया है और अपस्ट्रीम पैकेज से लेकर अंतिम कंटेनर इमेज तक हर कदम पर हस्ताक्षर और अनुपालन करता है। वोल्फी का उपयोग करके, चैनगार्ड का तर्क है, डेवलपर्स को बाइनरी विश्लेषण स्कैन करने की आवश्यकता नहीं है, और SBOMs तब बनाए जाते हैं जब सॉफ़्टवेयर बनाया जाता है, तथ्य के बाद नहीं। इस साल की शुरुआत में, चैनगार्ड ने एक सुरक्षित सॉफ़्टवेयर आपूर्ति श्रृंखला के लिए डिज़ाइन की गई पहली डिस्ट्रोलेस कंटेनर बेस इमेज, चैनगार्ड इमेज की घोषणा की। चैनगार्ड इमेज लगातार अपडेट की जाने वाली बेस कंटेनर इमेज होती हैं जिनका लक्ष्य शून्य-ज्ञात कमजोरियों को लक्षित करना होता है। वोल्फी के साथ, उन्होंने सॉफ्टवेयर आपूर्ति श्रृंखला के लिए डिफ़ॉल्ट सुरक्षा उपायों के साथ निर्मित एक सामुदायिक लिनक्स अविभाजन बनाया है – यह आज स्टैंड-अलोन बायनेरिज़ के लिए आधार छवियों के साथ शिप करता है, nginx जैसे एप्लिकेशन और गो और सी कंपाइलर जैसे विकास टूलिंग।
एक अविनाशी क्यों? चैनगार्ड के अनुसार: “कंटेनर स्वभाव से अपरिवर्तनीय हैं (इसलिए कोई अपग्रेड / डाउनग्रेड की आवश्यकता नहीं है) और कर्नेल मेजबान द्वारा प्रदान किया जाता है (पैकेज प्रबंधकों को और भी सरल बनाना)। सीधे शब्दों में कहें तो डिस्ट्रोस को आज जिस तरह से सॉफ्टवेयर बनाया गया है, उसके लिए डिज़ाइन नहीं किया गया था। ” शिफ्ट-लेफ्ट के लिए इस स्टैक का क्या मतलब हो सकता है सुरक्षा जल्दी एस . में , LAMP स्टैक का उदय – Linux, Apache, MySQL, Perl और Python – आधुनिक वेब अनुप्रयोगों के आगमन के लिए एक प्रमुख उत्प्रेरक था, जिससे डेवलपर्स को उपकरणों का एक स्थिर और परिचित सेट मिला जिसने नवाचार की सबसे बड़ी लहरों में से एक को जन्म दिया। तकनीक उद्योग ने देखा है। यह वर्तमान विकास जो हम सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा स्टैक के आसपास देख रहे हैं, उसमें एक समान खिंचाव है। हम जानते हैं कि सुरक्षा लगातार डेवलपर्स के लिए स्थानांतरित हो रही है, हम जानते हैं कि डेवलपर्स को अपने निर्माण वातावरण में अधिक सुरक्षा लाने में मदद करने के लिए और अधिक रेलिंग मौजूद होने की आवश्यकता है, लेकिन यह समझने के लिए एक बहुत ही भ्रमित करने वाला डोमेन रहा है।
प्रकटीकरण: मैं MongoDB के लिए काम करता हूं लेकिन यहां व्यक्त विचार मेरे हैं।
Be First to Comment