Lacy Leadership

Success is Near

ソースコードのセキュリティのベストプラクティス

0 株式 ソースコードは、会社の”秘密のソース”に例えることができます。 コードは、基本的なレベルであなたの知的財産を表しています–それはソフトウェア製品を動作させる命令です。 それはまたあなたの […]
0 株式

ソースコードは、会社の”秘密のソース”に例えることができます。 コードは、基本的なレベルであなたの知的財産を表しています–それはソフトウェア製品を動作させる命令です。 それはまたあなたの競争力の部分、あなたの企業の革新そして場所の非常に戦略的な面である。

この固有の重要性のために、ソースコードは暴露や盗難のリスクが高い。 ソースコードの盗難や偶発的な暴露の例が広く普及しています。 最近、ソースコードの盗難のために5年の懲役刑を与えられたIBMソフトウェア開発者の例のように。 またはGreyShift、法執行機関のためのiPhoneのロック解除の専門家からのコードの偶発的な暴露は、ハッカーによって身代金に開催されている会社になりました。 (1, 2)

ソースコードの公開の結果には、競合他社が優位に立つことを可能にすることから、革新的なエッジの損失、財務コスト、企業や顧客のセキュリティ問題

ソースコードはいくつかのルートを介してリークされています。 前回の記事では、ソースコードの露出が発生する理由と方法のいくつかを見てきました。 公開されたコードへのこれらのルートには、内部および外部の脅威の両方が含まれます。 ソースコード違反のリスクを軽減するために、ソースコードを保護するためのベストプラクティスを適用することができます。 この記事では、これらのプラクティスの中で最も重要な5つを見ていきます。 (3)

5 ソースコードを保護するためのベストプラクティス

ソースコードの公開は、対処するのが複雑な領域になる可能性があります。 これは、悪意のある手段と偶発的な手段の両方で発生する可能性があるためです。 ソースコードの損失を軽減するために取るすべての措置は、リークの両方の原因をカバーする必要があります。 以下の5つのベストプラクティスは、この最も貴重な商品、あなたのソースコードの損失を防ぐための堅牢な接地を与えます:

ベストプラクティス1: ソースコード

を含む明確なセキュリティポリシーがあるのはなぜですか? セキュリティポリシーは、現代の組織の基本的な部分です。 それらはあなたの組織がすべての潜在的なセキュリティ問題で戦略を立て、助言するのを助けます。 あらゆる種類のデータ盗難は、すべての業界セクターで大きな問題です。 すべての企業で、毎日650万件以上のデータ記録が盗まれています。 組織は、それが違反されたときに深刻な金融リスクに置かれています;株価の下落は、少なくとも6ヶ月のために落ち込んで残ることを発見した研究 (4, 5)

ソースコードは、他の会社のリソースと同様に扱われるべきであり、脅威はセキュリティポリシーによって認識され、その中で対処されなければなりません。 これらの脅威には、偶発的または悪意のある暴露によるコードの損失だけでなく、コードが意図的にマルウェアに感染する可能性も含まれます。

問題を抑えるための実用的な方法:組織のセキュリティポリシーを作成するときは、ソースコード開発領域とコード開発に関与する人員をカバーするセクシ これには、少なくとも次のものが含まれます:

  • GitHubおよびその他のリポジトリタイプ、ベストプラクティス–例えば、アクセス権、リポジトリ設定、堅牢な認証情報ポリシー、ローカルマシンへのソースのダウンロー
  • 開発者によるリムーバブルメディアの使用–特に、コードの偶発的な損失を防ぐために
  • 開発者のための一般的なセキュリティ衛生慣行–開発者間のパスワー下請け業者を使用する場合–開発者は通常、持っている必要はありません すべてのコードへのアクセス。
  • 秘密の資格情報と証明書キーをソースコードから分離しておく–コードの自動スキャンを使用して、資格情報が誤ってコードに追加されていないことを確認する
  • 関連する技術の使用-ベストプラクティス2、3、およびを参照してください。4

ベストプラクティス2:ソースコードの盗難を防ぐために専用のツールを適用する

なぜこれが必要なのですか? ソースコードへの内部的な脅威は非常に高価です。 内部の脅威の問題に関する最近の投稿では、インサイダー事件を是正するために最低平均$1.8百万と最大2 20百万ドルの費用がかかることがあることを その性質上、インサイダーが会社の知的財産(IP)を尊重することを確実にすることは、難しいことです。 しかし、ソフトウェアの盗難を防止するための専用ツールは、そうでなければ達成するのが非常に困難な保護層を提供します。 (6)

問題を封じ込めるための実用的な方法:この非常に困難なサイバーリスク領域を封じ込めるように設計された専門的なツールを適用する。 データ損失防止ツールは、組織を離れることを含む高レベルのリスク領域に関連するセキュリティ問題を管理するのに役立ちます-退職者の89%は、組織 (7, 8)

ベストプラクティス3:特権アクセスと2FA

これが必要なのはなぜですか? パスワードは、多くの場合、アクセスを制御する上で最も弱いリンクです。 開発者は通常、ソースコードで作業する際に、高いレベルの特権アクセスを必要とします。 パスワードを含む773万件のデータレコードが漏洩した最近のコレクション#1事件のようなデータ侵害は、特権アクセスのためのパスワードを使用し、リスクが高 たとえば、ソースコードリポジトリへの特権アクセスを必要とする人は、堅牢な認証を適用する必要があります。 モバイルデバイスで受信したデジタル証明書や時間制限コード、FIDOベースのアプリなどの第2の要素は、強力な認証および/または2要素認証(2FA)の例です。 バイオメトリクスは、ネットワークの特権領域へのより強力なアクセス制御を提供することができる資格情報の別のタイプです。 (9, 10)

問題を抑えるための実用的な方法:ソースコード、設計仕様、およびその他の関連ドキュメントなど、機密データを保持するネットワークのすべての領域には、2FAが適用されている必要があります。 システムの特権領域へのアクセスを制御するために利用可能なさまざまなタイプのテクノロジがあります。 しかし、これらは多くの場合、アプリケーションに依存しています。 GitHubのような開発チームが頻繁に利用するサービスは、2要素認証を提供します。 (11)

このベストプラクティスをベストプラクティス1にリンクし、最小特権のモデルを包含するポリシーを作成します。

ベストプラクティス4:暗号化や行動分析/監視などの技術

これが必要なのはなぜですか? セキュリティは階層化されたアプローチに依存します。 つまり、単一のベストプラクティスを適用することはできず、リスクを軽減することを願っています。 代わりに、技術的および人間中心のベストプラクティスの両方の数を使用する必要があります。 セキュリティはプロセスと考えるべきです。

様々な技術は、あなたの保護層を硬化させるために、グローバルおよび/または部門ベースで適用することができます。

問題を抑えるための実用的な方法:暗号化、コード難読化技術などの技術を使用し、従業員や請負業者を非侵入的に監視することで、問題がインシデントになる前に問題を把握することができます。 コードを開発したりアクセスしたりする個人から、それが格納されているリポジトリ、コードの共有とリリースに至るまで、開発プロセスの最初から始ま

ベストプラクティス5:信頼を包含するが検証するポリシー

なぜこれが必要なのですか? このベストプラクティスは、ソースコードを保護するためのすべての努力を結集します。 これは、ソースコードの公開だけでなく、他の機密データ漏洩を減らす実用的な方法の基礎を提供する哲学的なマントラです。 “信頼して検証する”とは、組織内での信頼の実用的な基盤を作成することです。 Blind trustは、インサイダーの脅威を懸念している企業の90%としては機能しません、と証明しています。 (12)

問題を含めるための実用的な方法: Trust but Verifyは、ソースコードのセキュリティに対する社会学的および技術的アプローチをまとめています。 それはあなたの従業員との優秀なコミュニケーションの開発に基づいています。 これには、すべての従業員がリスクを理解できるようにセキュリティ意識トレーニングを適用すること、コード保護を含む明確なセキュリティポリシーを持つこと、データ損失防止などの利用可能な最高のテクノロジを適用してソースコードを保護することが含まれます。

結論

あなたのソースコードはあなたの知的財産および専有機密データです。 このリソースを保護することは、コードを生成する組織にとって基本的な必要性です。 ソースコードの損失は、あなたの財政のボトムラインに影響を与えるだけでなく、それはまた、あなたの競争相手に足を与えます。 会社がソースコードを作成する場合は、ソースコードが組織の管理下にあることを確認する必要があります。 しかし、ソースコードは非常に貴重な商品であり、価値があるリスクがあります。

そのリスクを軽減するには、ベストプラクティスを含むプロセスに従う必要があります。 ソースコードを保護するための5つのベストプラクティスは、業界の深い知識に基づいて構築されています。 彼らの助言に従えば、あなたの会社にはソースコード開発に関連するリスクが含まれている可能性があります。 これらのベストプラクティスは、セキュリティに深さと強さを追加するために、以前の実践方法論に基づいて構築された保護への階層化されたア これらのベストプラクティスは、内部と外部の両方の脅威が軽減されることを保証します。 あなたのコードを安全に保つことは、サイバー犯罪が蔓延している世界では優先事項です。 しかし均等に、偶然の露出はあなたの構成を心から要することを終えることができる。

  • : https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • : https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft、なぜ開発者はソースコードを盗むのですか?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • ジェムアルト、違反レベル指数: https://breachlevelindex.com/
  • コンパリテック: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • 停止-ソース-コード-盗難、内部者の脅威101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • 停止-ソース-コード-盗難: https://www.stop-source-code-theft.com/
  • デン-ハーグ-セキュリティ-デルタ: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com(コムコム): https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDOアライアンス: https://fidoalliance.org/specifications/
  • GitHubヘルプ: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • コンピュータ-アソシエイツ: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

コメントを残す

メールアドレスが公開されることはありません。