सॉफ्टवेअर सप्लाय चेन जोखीम कमी करण्याचे प्रमुख मार्ग

आज, सॉफ्टवेअर दैनंदिन जीवनातील सर्व पैलूंमध्ये आढळू शकते. आज तुमचे जीवन सोपे बनवणाऱ्या बऱ्याच गोष्टी कार्य करण्यासाठी कोडवर अवलंबून असतात – स्मार्टफोनपासून ऑनलाइन बँकिंगपर्यंत सर्व काही. दुर्दैवाने, बऱ्याच लोकांना हे समजत नाही की आज तयार केले जाणारे जवळजवळ सर्व सॉफ्टवेअर संपूर्णपणे इन-हाउस विकसित केलेले नव्हते.

विकासक सहसा त्यांच्या विकास प्रक्रिया जलद पूर्ण करण्यासाठी आणि वेळ आणि पैसा वाचवण्यासाठी तृतीय-पक्ष साधने आणि मुक्त स्त्रोत लायब्ररींवर अवलंबून असताना, अशा तृतीय-पक्ष साधने आणि/किंवा मुक्त स्त्रोत लायब्ररींचा वापर महत्त्वपूर्ण सुरक्षा धोके निर्माण करू शकतो. एका स्रोत लायब्ररीमध्ये समस्या असल्यास, परिणामी संपूर्ण उत्पादनाशी तडजोड केली जाऊ शकते. त्यामुळेच सॉफ्टवेअर पुरवठा साखळी सुरक्षा ही इतकी मोठी समस्या बनली आहे.

दोन कल्पना आता खूप लक्ष वेधून घेत आहेत. SBOM सुरक्षा आणि अवलंबित्व स्वच्छता. ते buzzwords नाहीत. ते आधुनिक सॉफ्टवेअरसाठी मूलभूत सुरक्षा तपासण्या आहेत.

सॉफ्टवेअर सप्लाय चेन हल्ले का वाढत आहेत

सायबर गुन्हेगारांची बुद्धिमत्ता सुधारली आहे, कारण त्यांनी एकावेळी वैयक्तिक व्यवसायाला लक्ष्य बनवण्यापासून ते सामान्य सॉफ्टवेअर (लायब्ररी) वापरून विकसित केले आहे जे एकाच वेळी अनेक व्यवसायांद्वारे कमीतकमी प्रयत्नात शक्य तितक्या अनुप्रयोगांशी तडजोड करण्यासाठी वापरले जाते. वेगवेगळ्या व्यवसायांमध्ये प्रवेश करण्याचे साधन म्हणून तृतीय-पक्ष सॉफ्टवेअर वापरल्यामुळे याचा परिणाम अधिक होतो.

उदाहरण म्हणून, Log4j घटना अनेक संस्थांसाठी डोळे उघडणारी होती. याचे एक कारण असे होते की हल्ल्याच्या वेळी अनेक संस्थांना आपण या ग्रंथालयाचा वापर करत असल्याचेही माहीत नव्हते. सुरक्षा पथकांनी उत्तरे शोधण्यात दिवस घालवले. त्यामुळे उशीर झाला आणि गोंधळ झाला.

पुरवठा साखळी हल्ल्यांची ही मुख्य समस्या आहे. तुम्ही जे पाहू शकत नाही ते तुम्ही दुरुस्त करू शकत नाही.

SBOM सुरक्षिततेचा खरोखर अर्थ काय आहे

SBOM, किंवा सॉफ्टवेअर बिल ऑफ मटेरिअल्स, मूलत: लायब्ररी, पॅकेजेस आणि युटिलिटी प्रोग्राम्स तसेच त्यांच्या संबंधित आवृत्त्या आणि स्त्रोतांसह अनुप्रयोगातील सर्व सॉफ्टवेअर घटकांची सूची असते.

तुम्ही SBOM चा एक चेकलिस्ट म्हणून विचार करू शकता जे एखाद्या संस्थेला अनुप्रयोगाचे भाग ओळखण्यास सक्षम करते जे काही चूक झाल्यास खंडित होऊ शकते. SBOM च्या अनुपस्थितीत, प्रकल्प कार्यसंघ अनुप्रयोगातील तुटलेले घटक ओळखण्यासाठी मेमरी किंवा काही जुन्या कागदपत्रांवर अवलंबून असतात. तुटलेले घटक व्यवस्थापित करण्यासाठी एसबीओएम वापरणारे प्रकल्प कार्यसंघ समस्या सोडवण्यास सक्षम नसलेल्या संघांपेक्षा अधिक कार्यक्षमतेने सोडवण्यास सक्षम असतील. SBOMs स्पष्टता आणतात. तुमच्या सॉफ्टवेअरमध्ये नेमके काय आहे ते ते तुम्हाला सांगतात.

SBOMs वास्तविक जीवनात महत्त्वाचे का आहेत

सुरक्षा समस्या कधीही चेतावणीसह येत नाहीत. ते अचानक दिसतात. जेव्हा नवीन बग किंवा कमकुवतपणा नोंदवला जातो, तेव्हा कंपन्या प्रभावित होतात का ते तपासण्यासाठी घाई करतात. येथेच एसबीओएम वेळेची बचत करतात.

कोड आंधळेपणाने स्कॅन करण्याऐवजी, संघ SBOM तपासू शकतात. त्यांना स्पष्ट होय किंवा नाही मिळते. हा जलद प्रतिसाद नुकसान कमी करतो. यामुळे सुरक्षा घटनांदरम्यान तणाव कमी होतो. एसबीओएम ऑडिट आणि ग्राहक पुनरावलोकनांदरम्यान देखील मदत करतात. ते दर्शवतात की कंपनी स्वतःचे सॉफ्टवेअर समजते.

SBOM आणि वाढत्या विश्वासाच्या समस्या

ग्राहक आता अधिक प्रश्न विचारत आहेत. ते काय स्थापित करत आहेत हे त्यांना जाणून घ्यायचे आहे. काही उद्योगांमध्ये, सौद्यांवर स्वाक्षरी करण्यापूर्वी विक्रेत्यांना SBOM शेअर करण्यास सांगितले जाते. वित्त, आरोग्यसेवा आणि सरकारी प्रकल्पांमध्ये हे सामान्य आहे.

रेग्युलेटर देखील पाऊल टाकत आहेत. त्यांना सॉफ्टवेअरच्या जोखमींमध्ये अधिक चांगली दृश्यमानता हवी आहे. SBOM या अपेक्षा पूर्ण करण्यात मदत करतात. ते मूलभूत सॉफ्टवेअर ट्रस्टचा भाग बनत आहेत.

एकट्या SBOMs सर्व काही का सोडवत नाहीत

SBOM माहिती देते. पण केवळ माहितीने हल्ले थांबत नाहीत. धोकादायक लायब्ररी अस्तित्त्वात आहे हे जाणून घेणे केवळ आपण त्यावर कार्य केले तरच उपयुक्त आहे. अनेक संघ दृश्यमानतेवर थांबतात. येथेच अवलंबित्व स्वच्छता महत्वाची बनते. आपण समस्या पाहिल्यानंतर आपण काय करता याबद्दल ते आहे.

अवलंबित्व स्वच्छता म्हणजे काय

अवलंबित्व स्वच्छता म्हणजे तृतीय-पक्ष कोड स्वच्छ आणि सुरक्षित ठेवणे. हे नियमित अद्यतने आणि साफसफाईवर लक्ष केंद्रित करते. अनेक प्रकल्प वर्षापूर्वी जोडलेल्या ग्रंथालयांचा वापर करतात. त्यातील काही लायब्ररी पुन्हा कधीही अपडेट होत नाहीत.

कालांतराने, सॉफ्टवेअर जुने आणि न वापरलेले कोड गोळा करते. यामुळे शांत सुरक्षा धोके निर्माण होतात. चांगली अवलंबित्व स्वच्छता म्हणजे अवलंबनांचे वारंवार पुनरावलोकन करणे. याचा अर्थ तुम्हाला यापुढे ज्याची गरज नाही ते काढून टाकणे.

खराब अवलंबित्व स्वच्छतेमुळे उद्भवलेल्या वास्तविक समस्या

बहुतेक विकासक हेतुपुरस्सर सुरक्षिततेकडे दुर्लक्ष करत नाहीत. ते फक्त बाजूला ढकलले जाते. डेडलाइन आधी येतात. अपडेट्स धोकादायक आणि वेळ घेणारे वाटतात. परिणामी कालबाह्य ग्रंथालये उत्पादनातच राहतात. काही यापुढे अजिबात राखले जात नाहीत.

हल्लेखोर नेमके हे कमकुवत बिंदू शोधतात. जुना कोड तोडणे सोपे आहे. न वापरलेले अवलंबित्व देखील जोखीम वाढवते. जरी तुम्ही त्यांचा थेट वापर करत नसला तरीही ते सिस्टममध्ये अस्तित्वात आहेत.

SBOMs अवलंबित्व स्वच्छता सुधारण्यात कशी मदत करतात

SBOMs अवलंबित्व स्वच्छता शक्य करतात. ते सर्व काही दर्शवतात ज्याकडे लक्ष देणे आवश्यक आहे. स्पष्ट सूचीसह, संघ नियमितपणे अवलंबित्वांचे पुनरावलोकन करू शकतात. ते कालबाह्य किंवा धोकादायक पॅकेज लवकर शोधू शकतात. हे साफसफाईची सवय बनते. आपत्कालीन कार्य नाही. SBOMs संघांना डुप्लिकेट लायब्ररी टाळण्यास मदत करतात. हे सॉफ्टवेअर सोपे आणि सुरक्षित ठेवते.

SBOM निर्मिती सुलभ करणारी साधने

हाताने SBOMs तयार करणे वास्तववादी नाही. ऑटोमेशन आवश्यक आहे. अनेक साधने कोड स्कॅन करू शकतात आणि स्वयंचलितपणे तयार करू शकतात. ते विकासादरम्यान एसबीओएम तयार करतात. जेव्हा हे बिल्ड प्रक्रियेत घडते, तेव्हा SBOM अपडेट राहतात. नंतर कोणत्याही अतिरिक्त कामाची आवश्यकता नाही. हा दृष्टीकोन आधुनिक विकास कार्यप्रवाहांमध्ये योग्य आहे. सुरक्षा हा दैनंदिन कामाचा भाग बनतो.

CI/CD पाइपलाइनच्या आत SBOM

SBOM निर्मितीसाठी CI/CD पाइपलाइन ही सर्वोत्तम जागा आहे. प्रत्येक बिल्ड नवीन रेकॉर्ड तयार करते. हे वेळेनुसार बदलांचा मागोवा घेण्यास मदत करते. हे तपासादरम्यान देखील मदत करते. जेव्हा सुरक्षा समस्या दिसून येते, तेव्हा संघ जुने SBOM देखील तपासू शकतात. धोकादायक घटक कधी जोडला गेला हे समजण्यास हे मदत करते. ऑटोमेशन अंदाज काढून टाकते. आणि अंदाज बांधणे सुरक्षिततेच्या दृष्टीने धोकादायक आहे.

अवलंबित्व साधनांसह जोखीम व्यवस्थापित करणे

एकदा अवलंबित्व दृश्यमान झाल्यावर, संघांना त्यांचे व्यवस्थापन करण्यासाठी मदतीची आवश्यकता असते. सुरक्षा साधने ज्ञात समस्यांचे निरीक्षण करतात. जेव्हा लायब्ररी धोकादायक बनते तेव्हा ते संघांना सतर्क करतात. काही साधने अद्यतने देखील सुचवतात. हे मॅन्युअल प्रयत्न कमी करते. हे महत्त्वाचे इशारे गमावण्यापासून संघांना प्रतिबंधित करते. मुख्य म्हणजे संतुलन. प्रत्येक अलर्टला त्वरित कारवाईची आवश्यकता नसते.

अवलंबित्वांसाठी स्पष्ट नियम सेट करणे

साधने उपयुक्त आहेत, परंतु नियम वर्तनाचे मार्गदर्शन करतात. नियमांशिवाय निर्णय यादृच्छिक होतात. नवीन अवलंबित्व कधी जोडले जाऊ शकते हे संघांनी परिभाषित केले पाहिजे. त्यांनी अपडेट शेड्यूल देखील ठरवावे. साधे नियम सर्वोत्तम कार्य करतात. ते गोंधळ आणि संघर्ष कमी करतात. स्पष्ट मालकी देखील महत्त्वाची आहे. अवलंबित्व आरोग्यासाठी कोणीतरी जबाबदार असावे.

का कमी अवलंबित्व सुरक्षित आहेत

प्रत्येक अवलंबित्व धोका वाढवते. अपवाद नाही. नवीन लायब्ररी जोडण्यापूर्वी, संघांनी एक साधा प्रश्न विचारला पाहिजे. याची खरंच गरज आहे का?

अनेकदा, लहान वैशिष्ट्ये मोठ्या लायब्ररीमध्ये खेचतात. हे आक्रमण पृष्ठभाग वाढवते. न वापरलेले अवलंबित्व काढून टाकणे तितकेच महत्वाचे आहे. हे सॉफ्टवेअर हलके आणि सुरक्षित ठेवण्यास सोपे ठेवते.

मुक्त-स्रोत योग्य मार्गाने वापरणे

मुक्त स्रोत सॉफ्टवेअर शक्तिशाली आहे. हे नाविन्य आणते. पण ते जपून वापरायला हवे. सर्व प्रकल्प समान नाहीत. निरोगी प्रकल्प नियमित अद्यतने आणि सक्रिय देखभाल करणारे दर्शवतात. सोडलेले प्रकल्प धोकादायक आहेत. लायब्ररी वापरण्यापूर्वी संघांनी प्रकल्प आरोग्याचे पुनरावलोकन केले पाहिजे. हे लहान पाऊल भविष्यातील समस्या टाळते.

वापरकर्ते आणि भागीदारांसह SBOM शेअर करणे

एसबीओएम केवळ अंतर्गत संघांसाठी नाहीत. ते कंपनीबाहेर विश्वास निर्माण करण्यात मदत करतात. ग्राहकांना पारदर्शकता हवी आहे. त्यांच्या सिस्टममध्ये काय चालते हे त्यांना जाणून घ्यायचे आहे. SBOMs शेअर केल्याने आत्मविश्वास दिसून येतो. हे वापरकर्त्यांना सांगते की सुरक्षा गांभीर्याने घेतली जाते. यामुळे दीर्घकालीन संबंध सुधारू शकतात. आणि ते सुरक्षा पुनरावलोकनांना गती देते.

संघ अजूनही सामान्य चुका करतात

काही संघ एकदाच SBOM तयार करतात आणि विसरतात. त्यामुळे उद्देशच नष्ट होतो. इतर डेटा संकलित करतात परंतु त्यावर कधीही कारवाई करत नाहीत. कृतीशिवाय दृश्यमानता काहीही बदलत नाही. दुसरी चूक म्हणजे पॅनीक-चालित पॅचिंग. प्रत्येक समस्येचे त्वरित निराकरण आवश्यक नसते. सुरक्षेचे निर्णय शांत आणि नियोजनबद्ध असावेत. घाई केली नाही.

वास्तविक सुधारणा कशी ठरवायची

परिपूर्ण सुरक्षा अस्तित्वात नाही. ते वास्तव आहे. चांगल्या चिन्हांमध्ये जलद प्रतिसाद वेळा आणि क्लिनर अवलंबित्व सूची समाविष्ट आहे. कमी अलर्टपेक्षा कमी कालबाह्य पॅकेजेस अधिक महत्त्वाच्या आहेत. स्पष्ट मालकी आणि स्थिर सवयी सर्वात मोठा फरक करतात. ते घटनांदरम्यान अराजकता कमी करतात.

सॉफ्टवेअर पुरवठा साखळी सुरक्षा कुठे जात आहे

पुरवठा साखळी सुरक्षा अजूनही वाढत आहे. मानके आणि साधने हळूहळू सुधारत आहेत. भविष्यात, SBOM प्लॅटफॉर्मवर कनेक्ट होऊ शकतात. हे जलद जोखीम ट्रॅक करण्यास अनुमती देऊ शकते. आत्तासाठी, मूलभूत पायऱ्या आधीच खूप मदत करतात. दृश्यमानता आणि स्वच्छता सर्वात सामान्य धोके कमी करते.

निष्कर्ष

सॉफ्टवेअर पुरवठा साखळी सुरक्षा आता दैनंदिन विकासाचा भाग आहे. त्याकडे आता दुर्लक्ष करता येणार नाही. SBOMs संघांना ते काय तयार करत आहेत हे पाहण्यात मदत करतात. अवलंबित्व स्वच्छता त्यांना सुरक्षित ठेवण्यास मदत करते. या पद्धतींना परिपूर्णतेची आवश्यकता नाही. त्यांना सातत्य आवश्यक आहे. आणि सुसंगतता ही सुरक्षिततेला भीतीपासून नियंत्रणात बदलते.