بهترین روش های زنجیره تامین نرم افزار امن

ماه گذشته ، گروه مشاوره فنی امنیت Cloud Native Computing Foundation (CNCF) سند مفصلی در مورد بهترین روش های زنجیره تامین نرم افزار منتشر کرد. می توانید سند کامل را از نسخه ی نمایشی GitHub آنها دریافت کنید. این نتیجه ماهها کار در یک تیم بزرگ بود ، با تشکر ویژه از Jonathan Meadows و Emily Fox. من به عنوان یکی از بازبینی کنندگان CNCF از خواندن چندین تکرار لذت می بردم و می دیدم که با گذشت زمان شکل می گیرد و بهبود می یابد.

امنیت زنجیره تأمین از یک نگرانی خاص به موضوعی تبدیل شده است که خبرها را به خود اختصاص می دهد ، به ویژه پس از "Sunburst" SolarWinds. حمله سال گذشته هفته گذشته این بخش مهمی از دستورالعمل رئیس جمهور ایالات متحده جو بایدن در مورد امنیت سایبری بود. پس این چیست؟ هر وقت از نرم افزاری استفاده می کنید که خودتان ننوشته اید ، غالباً از نرم افزارهای متن باز که در برنامه های خود استفاده می کنید ، هم به این نرم افزار که اضافه کرده اید همان چیزی است که فکر می کنید هم اعتماد دارید و هم اینکه قابل اعتماد است و خصمانه نیست. معمولاً هر دو مورد درست هستند ، اما وقتی اشتباه می شوند ، مانند زمانی که صدها نفر از SolarWinds به روزرسانی هایی را نصب کردند که مشخص شد حاوی کدی برای حمله به زیرساخت های آنها است ، عواقب آن جدی است. از آنجا که مردم محیط تولید خود را سخت کرده اند ، حمله به نرم افزارهایی که قبل از تولید ، مونتاژ ، ساخته شده یا آزمایش شده اند ، به مسیری آسان تر تبدیل شده است. انجام می شود تا زنجیره های تأمین ایمن آسان تر و به طور گسترده تر پذیرفته شود این مقاله واقعاً در تبیین چهار اصل اساسی بسیار خوب عمل می کند:

  • اول ، در نتیجه ترکیبی از تأیید رمزگذاری و تأیید ، هر مرحله در یک زنجیره تأمین باید "قابل اعتماد" باشد
  • دوم ، اتوماسیون برای امنیت زنجیره تامین. خودکارسازی هر چه بیشتر زنجیره تأمین نرم افزار می تواند به طور قابل توجهی احتمال خطای انسانی و رانش پیکربندی را کاهش دهد.
  • سوم ، محیط های ساختمانی مورد استفاده در یک زنجیره تأمین باید کاملاً مشخص و دارای دامنه محدود باشد.
  • چهارم ، همه نهادهایی كه در محیط زنجیره تأمین فعالیت می كنند باید ملزم به احراز هویت متقابل با استفاده از سازوكارهای احراز هویت سخت شده با چرخش كلید منظم شوند.

به زبان ساده تر ، این بدان معنی است كه شما باید بتوانید كدی را كه به صورت ایمن دنبال می كنید استفاده می کنید ، از کدام نسخه های دقیق استفاده می کنید ، از کجا آمده است و به روشی خودکار است تا خطایی رخ ندهد. محیط های ساخت شما باید حداقل ، ایمن و کاملاً مشخص ، یعنی دارای محفظه باشند. و باید اطمینان حاصل کنید که همه موارد به طور ایمن احراز هویت شده اند.

اکثر مردم همه این معیارها را ندارند و این مسئله ردیابی دقیق را دشوار می کند. این گزارش توصیه های محکمی برای محیط های حساس تر مانند محیط پرداخت با پرداخت ها و سایر مناطق حساس دارد. با گذشت زمان ، این الزامات بسیار بیشتر مورد استفاده قرار می گیرد زیرا خطرات آن برای همه جدی است.

ما در Docker به اهمیت یک زنجیره تامین نرم افزار ایمن ایمان داریم و قصد داریم ابزارهای ساده ای را برای شما به ارمغان بیاوریم که امنیت شما را بهبود می بخشد. ما در حال حاضر استاندارد را با Docker Official Images تنظیم کرده ایم. این تصاویر قابل اعتمادترین تصاویری هستند که توسعه دهندگان و تیم های توسعه دهنده به عنوان مبنای ایمن برای ساخت برنامه های خود استفاده می کنند. علاوه بر این ، ما اسکن CVE همراه با Snyk داریم ، که به شناسایی خطرات زیادی در زنجیره تامین نرم افزار کمک می کند. ما در حال حاضر با CNCF ، Amazon و Microsoft در پروژه Notary v2 در حال کار هستیم تا امضای کانتینر را که ظرف چند ماه ارسال خواهیم کرد ، به روز کنیم. این نسخه جدیدی از Notary v1 و Docker Content Trust است که امضاها را بین دفاتر ثبات قابل حمل می کند و قابلیت استفاده با توافق گسترده در صنعت را بهبود می بخشد. ما برنامه های بیشتری برای بهبود امنیت برای توسعه دهندگان داریم و نظرات و ایده های شما را در مخزن نقشه راه خود دوست داریم.

، کار @ docker

سایر پست های Justin Cormack

->