यह एक नया साल है और साइबर सुरक्षा समुदाय अब एक और सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा दुःस्वप्न के दीर्घकालिक परिणामों का सामना कर रहा है। एप्लिकेशन सुरक्षा शून्य-दिन के नतीजों से भरे एक वर्ष के बाद, Log4j भेद्यता पराजय (जिसे Log4Shell भी कहा जाता है) 2021 के लिए एक विषयगत बुकेंड की तरह था जिसने सोलरविंड्स ने इसे शुरू करने के तरीके में वर्ष को बहुत अधिक बंद कर दिया।

इन घटनाओं के वास्तविक दुनिया के परिणामों ने उद्यम आईटी टीमों को कई तरीकों से गिनने के लिए प्रशिक्षित किया। लेकिन बबल अप करने के लिए शायद सबसे महत्वपूर्ण सबक यह है कि कई संगठनों को वास्तव में यह समझने और प्रबंधित करने के लिए कितना काम करने की ज़रूरत है कि उनके सॉफ़्टवेयर पोर्टफोलियो में हुड के तहत कौन सा कोड चल रहा है। इससे पहले सोलरविंड्स की घटना की तरह, Log4j फियास्को ने इस बात पर प्रकाश डाला कि एंटरप्राइज़ सॉफ़्टवेयर में कितनी छिपी हुई सॉफ़्टवेयर निर्भरताएँ मौजूद हैं – और जब इन निर्भरताओं को पर्याप्त रूप से नहीं समझा जाता है, तो महत्वपूर्ण अंतर्निहित खामियों पर मुहर लगाना कितना कठिन है।

इसका एक बड़ा हिस्सा आधुनिक विकास तकनीकों की प्राकृतिक प्रगति से आता है, जिसमें माइक्रोसर्विसेज और सॉफ्टवेयर के घटककरण शामिल हैं, जिससे आज का अधिकांश सॉफ्टवेयर प्रीफैब्रिकेटेड ओपन सोर्स और थर्ड-पार्टी कोड से बना है। अपने द्वारा विकसित प्रत्येक ऐप के लिए कोड का एक नया निकाय बनाकर पहिया को फिर से शुरू करने के बजाय, सॉफ्टवेयर इंजीनियर अनिवार्य रूप से मौजूदा पुस्तकालयों और पैकेजों को आम कार्यों के लिए मिलाते हैं और अनुप्रयोगों को चलाने वाले कोडबेस का बड़ा हिस्सा बनाते हैं।

के अनुसार “2021 सोनाटाइप स्टेट ऑफ सॉफ्टवेयर सप्लाई चेन रिपोर्ट, “पिछले साल दुनिया भर के डेवलपर्स ने अपने काम में उपयोग करने के लिए ऑनलाइन रिपॉजिटरी से 2.2 ट्रिलियन से अधिक ओपन सोर्स पैकेज निकाले, जो ओपन सोर्स घटकों के डेवलपर डाउनलोड में 73% साल-दर-साल वृद्धि का प्रतिनिधित्व करते हैं।

यह दृष्टिकोण विकास कार्य को तेज और अधिक अनुमानित बनाता है, लेकिन यह एक व्यापक जोखिम प्रभाव भी पैदा करता है जब अंतर्निहित घटक जैसे कि Log4j कमजोर पाए जाते हैं। बड़े मुद्दों में से एक यह है कि कई पूर्वनिर्मित पुस्तकालय और ओपन सोर्स प्रोजेक्ट एक दूसरे पर निर्भर हैं, निर्भरता की एक श्रृंखला बनाते हैं जो कई परतों में गहराई तक जा सकते हैं। यह एक ऐसी स्थिति पैदा करता है जिसमें अप्रत्यक्ष निर्भरताएं होती हैं जिन्हें अपाचे जैसे ओपन सोर्स इकोसिस्टम में विभिन्न खिलाड़ियों के बीच बहुत अधिक समन्वय के बिना उद्यम रक्षकों के लिए संबोधित करना मुश्किल हो सकता है।

नवीनतम के अनुसार अध्ययन करते हैं Google की ओपन सोर्स इनसाइट्स टीम द्वारा, Apache Log4j लाइब्रेरी में भेद्यता से प्रभावित जावा पैकेज के 80% को सीधे अपडेट नहीं किया जा सकता है और दोष को दूर करने के लिए विभिन्न प्रोजेक्ट टीमों के बीच समन्वय की आवश्यकता होगी। यह एप्लिकेशन सुरक्षा और विकास पेशेवरों के लिए इस व्यापक सॉफ़्टवेयर कमजोरी से जोखिम को दूर करने के लिए वर्षों के काम का मंत्र है।

चूंकि ये सुरक्षा और सॉफ्टवेयर पेशेवर Log4j के संकट मोड से निकलते हैं और 2022 के लिए अपनी प्राथमिकताओं को चार्ट करना शुरू करते हैं, सुरक्षा पंडितों को उम्मीद है कि पिछले साल की घटनाएं सामग्री के सॉफ्टवेयर बिल (एसबीओएम) पर नज़र रखने और निर्भरता में अधिक अनुशासन के लिए अधिक व्यापक धक्का दे सकती हैं। प्रबंध।

एसबीओएम सॉफ्टवेयर के लिए एक घटक सूची की तरह हैं, जो उपयोग किए गए घटकों और अनुप्रयोगों में निर्भरता की पहचान करने के लिए एक औपचारिक विधि प्रदान करते हैं, रिवर्सिंगलैब्स के मुख्य सॉफ्टवेयर आर्किटेक्ट टोमिस्लाव पेरीसिन बताते हैं।

“एसबीओएम सॉफ्टवेयर पैकेजों में निर्भरता के बारे में जानने का आवश्यक तरीका है,” पेरीसिन कहते हैं।

“मुख्य मूल्य सॉफ़्टवेयर इन्वेंट्री बनाने की क्षमता है ताकि जब कोई हमला या भेद्यता हो तो आपके पास एक जगह हो जहां आप पूछ सकते हैं कि ‘यह कहां स्थित है?,’ ‘मुझे अपडेट कहां मिल सकता है?’ [and] ‘मुझे ऑफ़लाइन क्या लेना होगा?’ बेशक, शैतान विवरण में है। कई SBoM अभी भी मैन्युअल रूप से बनाए और प्रबंधित किए जाते हैं। सॉफ़्टवेयर परिवर्तनों की आवृत्ति और अनुप्रयोगों की मात्रा को देखते हुए, व्यक्तियों के लिए एसबीओएम को अद्यतित रखना और बनाए रखना मुश्किल हो सकता है।”

हालाँकि, SBoM निर्माण और मानकीकरण की परिपक्वता चल रही है। पिछले साल बाइडेन प्रशासन ने भाषा को अपने में शामिल किया था कार्यकारी आदेश साइबर सुरक्षा पर संघीय एजेंसियों को बेचने वाले सॉफ़्टवेयर डेवलपर्स को उनके सॉफ़्टवेयर के लिए एक एसबीओएम प्रदान करने की आवश्यकता है, और इसके तुरंत बाद राष्ट्रीय दूरसंचार और सूचना प्रशासन ने एक दस्तावेज प्रकाशित किया जिसमें विवरण दिया गया था न्यूनतम तत्व एक एसबीओएम की। इस बीच, लिनक्स फाउंडेशन जैसे उद्योग समूह वर्तमान में विश्व स्तर पर एसबीओएम प्रथाओं को बेहतर ढंग से समझने के लिए अध्ययन चला रहे हैं। नतीजा यह है कि एप्लिकेशन सुरक्षा पेशेवरों और साइबर सुरक्षा नेताओं को आज के सॉफ्टवेयर विकास परिवेश में जोखिम का प्रबंधन करने के लिए अपने एसबीओएम ट्रैकिंग को बेहतर बनाने के लिए एक रास्ता खोजने की जरूरत है।

“आधुनिक अनुप्रयोगों में खुले स्रोत और अन्य तृतीय-पक्ष घटकों के व्यापक उपयोग को देखते हुए,” इन्विक्टी के एक्यूनेटिक्स में इंजीनियरिंग के प्रमुख निकोलस साइबेरस कहते हैं, “एसबीओएम साइबर लचीलापन का एक मूलभूत तत्व हैं।”


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here