Keamanan supply chain software

Framework dan pendekatan modern untuk pengembangan software berfokus pada kecepatan dan keandalan pengiriman software, serta kepemilikan bersama di antara pemangku kepentingan software.

Selain praktik DevOps untuk beralih ke kiri di bidang keamanan, banyak praktik DevOps lainnya berkontribusi pada pengiriman software yang lebih aman. Kolaborasi dengan pemangku kepentingan yang lebih besar, visibilitas pekerjaan, build yang dapat direproduksi, pengujian otomatis, perubahan inkremental, adalah semua praktik yang dapat mendukung keamanan software. Faktanya, Accelerate State of DevOps 2022 menemukan bahwa budaya kepercayaan yang lebih tinggi lebih cenderung mengadopsi praktik untuk memperkuat supply chain software, dan penggunaan CI/CD membantu penerapan praktik keamanan.

Namun, framework pengembangan modern tidak memiliki panduan yang membantu organisasi memahami ancaman terhadap software mereka, menilai kemampuan mereka dalam mendeteksi dan merespons ancaman, serta menerapkan mitigasi. Mereka juga cenderung berfokus secara khusus pada kode dan proses dalam organisasi serta mengabaikan faktor eksternal yang dapat memengaruhi integritas aplikasi. Misalnya, serangan yang membobol paket software open source memengaruhi kode apa pun yang secara langsung atau tidak langsung bergantung pada paket tersebut. Serangan supply chain software seperti ini telah meningkat tajam sejak 2020.

Supply chain software

supply chain software terdiri dari semua kode, personel, sistem, dan proses yang berkontribusi pada pengembangan dan pengiriman software, baik di dalam maupun di luar organisasi Anda. It includes:

• Kode yang Anda buat, dependensinya, serta software internal dan eksternal yang Anda gunakan untuk mengembangkan, mem-build, mengemas, menginstal, dan menjalankan software Anda.
• Proses dan kebijakan untuk akses, pengujian, peninjauan, pemantauan dan masukan, komunikasi, dan persetujuan sistem.
• Sistem yang Anda percayai untuk mengembangkan, mem-build, menyimpan, dan menjalankan software Anda beserta dependensinya.

Mengingat jangkauan yang luas dan kompleksitas supply chain software, ada banyak cara untuk menerapkan perubahan tidak sah pada software yang Anda kirimkan kepada pengguna. Vektor serangan ini mencakup seluruh siklus proses software. Meskipun beberapa serangan ditargetkan, seperti serangan pada sistem build SolarWinds, ancaman lainnya bersifat tidak langsung atau memasuki supply chain melalui kelemahan dalam proses atau pengabaian.

Misalnya, dalam postingan blog tentang kerentanan eksekusi jarak jauh di Apache log4j dari Desember 2021, tim Google Open Source Insights mencatat bahwa ada lebih dari 17.000 paket yang terpengaruh di Maven Central. Sebagian besar paket yang terpengaruh tidak bergantung langsung pada paket log4j-core yang rentan, tetapi memiliki dependensi yang memerlukannya.

Kesenjangan proses seperti kurangnya tinjauan kode atau kriteria keamanan untuk deployment ke produksi dapat memungkinkan kode yang buruk masuk ke supply chain secara tidak sengaja. Demikian pula, kode yang buruk dapat masuk ke software jika Anda mem-build dengan kode sumber di luar sistem kontrol versi tepercaya, atau mengemas dan men-deploy aplikasi dari sistem di luar sistem build dan repositori artefak tepercaya Anda.

Menurut State of the Software Supply Chain 2021, penggunaan software open source dan serangan pada supply chain software tumbuh tajam antara tahun 2020 dan 2021:

• Serangan supply chain software mengalami peningkatan sebesar 650% dari tahun ke tahun pada 2021.
• Ketersediaan dan permintaan paket open source terus bertambah, dengan peningkatan download komponen open source sebesar 73% year over year pada tahun 2021.
• Kerentanan adalah hal paling umum dalam proyek {i>open source<i} yang paling populer.

Untuk melindungi integritas software, penting untuk memahami postur keamanan Anda: seberapa siap organisasi Anda untuk mendeteksi, merespons, dan memulihkan ancaman.

Persyaratan kepatuhan dan kerangka penilaian

Meningkatnya kekhawatiran tentang keamanan supply chain telah menyebabkan pembuatan peraturan pemerintah baru yang khusus untuk keamanan supply chain seperti:

• Perintah Eksekutif Amerika Serikat
  • Suply Chain Amerika
  • Meningkatkan Pengamanan Cyber Bangsa
• Network and Information Security 2 Directive Uni Eropa

Framework baru bermunculan untuk membantu organisasi menilai postur keamanan mereka dan mempelajari mitigasi ancaman.

• Supply Chain Levels for Software Artifacts (SLSA), framework open source yang terinspirasi oleh praktik keamanan software di Google.
• Kerangka kerja oleh organisasi pemerintah, seperti:
  • National Institute of Standards and Technology (NIST) Secure Software Development Framework (SSDF) (Amerika Serikat)
  • Framework Penilaian Pengamanan Cyber (Inggris Raya)

Framework ini menerapkan praktik keamanan software yang telah ditetapkan dan menyusunnya dalam format yang membantu Anda mengidentifikasi ancaman keamanan yang perlu ditangani dan tindakan apa yang harus diambil untuk memitigasi ancaman.

Melindungi supply chain software Anda di Google Cloud

Software Delivery Shield menyediakan solusi keamanan supply chain software yang terkelola sepenuhnya di Google Cloud. Solusi ini menerapkan praktik terbaik, termasuk praktik dalam framework seperti SLSA dan SSDF NIST. Anda mengadopsi komponen solusi secara bertahap, berdasarkan prioritas dan kebutuhan Anda.

Langkah selanjutnya

• Pelajari ancaman terhadap supply chain software.
• Menilai postur keamanan Anda saat ini sehingga Anda dapat mengidentifikasi cara untuk memperkuatnya.
• Pelajari praktik untuk melindungi supply chain software Anda dan cara fitur dalam Perlindungan Pengiriman Software dapat membantu.
• Pelajari Perlindungan Pengiriman Software lebih lanjut dan coba panduan memulai.