Конвейер непрерывной интеграции/непрерывной доставки (CI/CD) стал основой процесса разработки программного обеспечения, поэтому очень важно обеспечить, чтобы разработчики соблюдали и превышали самые важные меры безопасности. Вместо обнаружения уязвимостей на этапе постпроизводства, когда эксплуатация и ущерб бизнес-операциям уже могли произойти, безопасность CI/CD устраняет уязвимости на ранней стадии.
Выявляя и снижая риски на ранних этапах жизненного цикла разработки программного обеспечения, организации могут перейти от реактивного состояния кибербезопасности к упреждающему. Несмотря на то, что это сложно, учитывая, насколько быстро развиваются и постоянно меняются тактики киберпреступников, мы разработали контрольный список из четырех шагов и нескольких инструментов и тактик, которые лидеры безопасности могут использовать для внедрения управления уязвимостями на основе рисков в свои конвейеры CI/CD:
Шаг 1: Создайте здоровую среду.
Организации и их команды разработчиков программного обеспечения должны думать о безопасности в самом начале процесса разработки программного обеспечения, когда команды все еще находятся на этапе планирования. При составлении дорожной карты продукта команда может решить определенные задачи, такие как моделирование угроз и уровни цепочки поставок для программных артефактов (SLSA). Моделирование угроз выявляет потенциальные области атак и вводит контрмеры, необходимые для их смягчения. Принимая точку зрения противника, команды могут постоянно оценивать окружающую среду и укреплять свою защиту от моделирования реального мира.
Структуры SLSA особенно полезны на этапе планирования. Выступая в качестве общего языка для определения безопасности конвейера CI/CD, он состоит из списка элементов управления, стандартов и передовых методов, чтобы избежать атак на цепочку поставок и предотвратить использование.
Шаг 2: Обеспечьте работоспособность кода.
Команды разработчиков не могут защитить то, чего они не видят. Чтобы увидеть весь конвейер CI/CD, необходимо понимать весь код, из которого он состоит, и то, как они связаны и взаимодействуют друг с другом. Также необходимо внимательно следить за всеми возможными точками входа. Команды разработчиков программного обеспечения могут достичь этого, выполняя анализ состава программного обеспечения (SCA) и используя спецификацию программного обеспечения (SBOM), которая может играть неотъемлемую роль в отслеживании всех компонентов с открытым исходным кодом и сторонних компонентов в кодовой базе. Команды разработчиков также должны добавить статическое тестирование безопасности приложений (SAST). Тесты SAST включают в себя набор инструментов, используемых для проверки исходного кода приложения, ассемблерного кода, байт-кода и двоичных файлов на наличие возможных недостатков безопасности. Разработчики могут использовать их в начале цикла для обнаружения проблем, прежде чем они станут частью базы кода, или ближе к концу цикла, чтобы обеспечить безопасность базы кода. Конечно, развертывание этих инструментов никоим образом не освобождает специалистов по безопасности от ответственности за ручную проверку кода, поскольку ни один инструмент не идеален.
Разработчикам также следует рассмотреть возможность использования службы подписи кода. На этом этапе жизненного цикла разработки программного обеспечения (SDLC) эти инструменты проверяют подлинность кода, ставя на него цифровую подпись, прежде чем он попадет в производственную среду. Это гарантирует, что разработчики могут доверять коду, и он не подвергается манипуляциям.
Шаг 3: Протестируйте код.
На этом этапе постоянно тестируйте программное обеспечение, особенно если добавляются новые функции. Разработчики могут использовать динамическое тестирование безопасности приложений (DAST) для анализа сборки снаружи внутрь с помощью имитационных атак. В отличие от инструментов SAST, которые могут обнаруживать недостатки только в статической среде, инструменты DAST могут обнаруживать недостатки во время выполнения в динамичной, активно меняющейся среде. На этом этапе тестирования используйте инструменты сканирования контейнеров, так как использование контейнеров для разработки приложений стало широко распространенным и растущим трендом в облачных вычислениях.
Помимо кода, очень важно выполнить приемочное тестирование безопасности, которое гарантирует, что имеющиеся средства безопасности достаточно надежны для защиты всей системы. Это включает в себя проверку уязвимостей в зависимостях, проверку небезопасных параметров конфигурации и проверку правильности работы элементов управления аутентификацией и авторизацией. Выполняется либо с помощью автоматизированных инструментов, либо вручную, но предпочтительно и то, и другое, считается, что приемочное тестирование безопасности необходимо для постоянной работоспособности системы на протяжении всего конвейера CI/CD.
Шаг 4: Практикуйте непрерывный мониторинг.
Среда, код и стратегия тестирования группы уже запущены и работают, и теперь пришло время принять превентивные меры, чтобы сохранить конвейер CI/CD таким же безопасным, каким он был изначально. Этот флажок всегда должен оставаться неотмеченным, потому что это задача, которая никогда не завершается полностью. Для реального успеха безопасность должна охватывать непрерывный аспект непрерывного мониторинга. Вот где становится важным управление идентификацией и доступом (IAM). IAM фокусируется на нескольких простых, но важных вопросах: Кто и к чему имеет доступ? Когда у них есть к нему доступ? И какой уровень разрешений имеет каждое удостоверение в организации? Разработчики часто пренебрегают IAM, чтобы освободить место для других реактивных мер и инструментов безопасности, но ужесточение контроля доступа и разделение обязанностей стало жизненно важной составляющей непрерывно безопасной среды. Убедитесь, что у команды всегда есть стратегия IAM для управления огромными данными, которые хранятся в организации.
Надлежащая защита конвейера CI/CD требует множества движущихся частей, и команды должны определить приоритеты рисков, которые являются наиболее пагубными, исходя из уникального плана своей организации. Такой подход к безопасности, основанный на оценке рисков, позволяет группам безопасности сосредоточиться на управлении рисками на каждом этапе SDLC. Этот набор тактических инструментов позволит команде защититься от шквала атак на конвейер CI/CD и направит программу управления киберрисками компании в правильном направлении.
Тал Моргенштерн, соучредитель, директор по стратегии, Vulcan Cyber
