Lacy Leadership

Success is Near

Source Code Security Best Practices

0 osakkeet lähdekoodia voi verrata yrityksen ”salaiseen kastikkeeseen”. Koodi edustaa immateriaalioikeuttasi perustasolla-juuri ohjeet saavat ohjelmistotuotteet toimimaan. Se on myös osa kilpailuetua ja on erittäin strateginen osa yrityksesi innovaatiota ja paikka toimialalla. tämän luontaisen merkityksen vuoksi lähdekoodilla on suuri riski altistua ja varastaa. Esimerkkejä lähdekoodivarkauksista tai jopa vahingossa tapahtuvasta altistumisesta on laajalle levinnyt. Kuten esimerkiksi IBM: […]
0 osakkeet

lähdekoodia voi verrata yrityksen ”salaiseen kastikkeeseen”. Koodi edustaa immateriaalioikeuttasi perustasolla-juuri ohjeet saavat ohjelmistotuotteet toimimaan. Se on myös osa kilpailuetua ja on erittäin strateginen osa yrityksesi innovaatiota ja paikka toimialalla.

tämän luontaisen merkityksen vuoksi lähdekoodilla on suuri riski altistua ja varastaa. Esimerkkejä lähdekoodivarkauksista tai jopa vahingossa tapahtuvasta altistumisesta on laajalle levinnyt. Kuten esimerkiksi IBM: n ohjelmistokehittäjä, joka sai hiljattain 5 vuoden vankeustuomion lähdekoodivarkaudesta. Tai vahingossa altistuminen koodin GreyShift, iPhone lukituksen asiantuntija lainvalvontaviranomaisten, mikä johti yrityksen pidetään lunnaita hakkerit. (1, 2)

lähdekoodipaljastuksen seuraukset sisältävät kaiken siitä, että kilpailijoilla on etulyöntiasema innovatiivisen reunan menetykseen, rahoituskustannuksiin sekä tietoturvaongelmien luomiseen yrityksellesi ja asiakkaillesi.

lähdekoodi vuotaa useita reittejä pitkin. Edellisessä artikkelissa tarkastelimme joitakin syitä, miksi ja miten lähdekoodille altistuminen tapahtuu. Nämä altistuneen koodin reitit sisältävät sekä sisäpiiriuhkia että ulkoisia uhkia. Pyrkiessämme vähentämään lähdekoodin rikkomisen riskiä voimme soveltaa parhaita käytäntöjä lähdekoodin turvaamisessa. Tässä artikkelissa tarkastelemme 5 tärkeimmistä näistä käytännöistä. (3)

5 Parhaat Käytännöt lähdekoodin

Lähdekoodialtistuksen turvaamiseksi voivat olla monimutkainen aihe, johon on puututtava. Tämä johtuu siitä, että se voi tapahtua sekä pahantahtoisin että vahingossa. Kaikki toimenpiteet, joilla lievennetään lähdekoodin häviämistä, on katettava molemmat vuodon syyt. Alla olevat 5 parasta käytäntöä antavat vankan pohjan estää tämän arvokkaimman tavaran katoaminen, lähdekoodisi:

parhaat käytännöt 1: On selkeät turvakäytännöt, jotka sisältävät lähdekoodin

miksi tätä tarvitaan? Turvallisuuspolitiikka on olennainen osa nykyaikaista organisaatiota. Ne auttavat organisaatiota strategisoimaan ja neuvomaan kaikissa mahdollisissa turvallisuuskysymyksissä. Kaikenlaiset tietovarkaudet ovat suuri ongelma kaikilla toimialoilla. Yli 6,5 miljoonaa tallennetta varastetaan joka päivä, kaikissa yrityksissä. Organisaatio on asetettu vakavaan taloudelliseen riskiin, kun se on rikottu; tutkimus havainto, että osakekurssi laskee edelleen masentunut vähintään 6 kuukautta tauon jälkeen. (4, 5)

lähdekoodia tulee käsitellä kuten mitä tahansa muuta yrityksen resurssia; uhkat on tunnustettava turvallisuuspolitiikassasi ja käsiteltävä siinä. Näihin uhkiin ei pitäisi sisältyä ainoastaan koodin häviäminen tahattoman tai haitallisen altistumisen seurauksena, vaan myös mahdollisuus koodin tahalliseen saastuttamiseen haittaohjelmilla-ts. vaarantuminen.

Toimivia tapoja ongelman hallitsemiseksi: kun luot organisaatiollesi turvakäytännön, varmista, että sinulla on osio, joka kattaa kaikki lähdekoodin kehitysalueet ja koodin kehittämiseen osallistuvat henkilöt. Tähän olisi sisällyttävä vähintään:

  • GitHub ja muut arkistotyypit, parhaat käytännöt – esimerkiksi käyttöoikeudet, arkiston kokoonpano,vankat luottokäytännöt, lähteen lataamisen estäminen paikallisiin koneisiin jne.
  • kehittäjien siirrettävien välineiden käyttö – erityisesti koodin vahingossa häviämisen estämiseksi
  • kehittäjien yleiset turvallisuushygieniakäytännöt – kehittäjien keskuudessa tapahtuvan salasanojen jakamisen riskin lieventäminen ja yhteistyöportaalien käyttö, joissa salasanoja ja koodia voidaan julkaista ryhmissä
  • kehittäjien Tietoturvatietoisuuskoulutus – vain siksi, että henkilö kirjoittaa ohjelmistokoodia, ei tarkoita, että hän olisi tietoinen tietoturvariskeistä
  • lokeroi lähdekoodi kun käytetään alihankkijoita – kehittäjillä ei yleensä tarvitse olla pääsy kaikkiin koodeihin. Niille olisi annettava pääsy ”need to know basis” – periaatteella
  • pidä salaiset valtakirjat ja varmenneavaimet erillään lähdekoodista-käytä koodin automaattista skannausta valtakirjojen tarkistamiseen ei ole vahingossa lisätty koodiin
  • asiaankuuluvien teknologioiden käyttö-katso parhaat käytännöt 2, 3, ja 4

paras käytäntö 2: Käytä omia työkaluja lähdekoodin varastamisen estämiseksi

miksi tätä tarvitaan? Sisäpiiriuhkaukset lähdekoodiin ovat hyvin kalliita. Meidän äskettäin postitse kysymyksiä sisäisiä uhkia, tunnistimme, että se voi maksaa vähintään keskimäärin $1.8 miljoonaa dollaria ja jopa $20 miljoonaa dollaria USD korjata sisäpiirikohtaus. Sen luonteen vuoksi sen varmistaminen, että sisäpiiriläiset kunnioittavat yrityksen immateriaalioikeuksia (IP), voi olla hankalaa. Ohjelmistovarkauksien estämiseen tarkoitetut työkalut antavat meille kuitenkin suojakerroksen, jota muuten olisi hyvin vaikea saavuttaa. (6)

Toimintakelpoisia keinoja ongelman hillitsemiseksi: sovelletaan erikoistyökaluja, jotka on suunniteltu tämän erittäin vaikean kyberriskin alueen hillitsemiseksi. Tietojen häviämisen ehkäisytyökalut auttavat hallitsemaan tietoturvaongelmia, jotka liittyvät korkean tason riskialueisiin, mukaan lukien organisaatiosta lähtevät-89 prosentilla lähtijöistä on edelleen pääsy yrityksen omistamiin tietoihin myös organisaatiosta lähtemisen jälkeen; alihankkijoilla, joilla voi olla etuoikeutettu pääsy; ja olemassa olevilla työntekijöillä, joihin luotat, mutta jotka on tarkistettava (KS.myös paras käytäntö 5 jäljempänä). (7, 8)

paras käytäntö 3: etuoikeutettu pääsy ja 2FA

miksi tätä tarvitaan? Salasanat ovat usein heikoin lenkki pääsyn valvomisessa. Kehittäjät tarvitsevat yleensä korkeatasoisen etuoikeutetun pääsyn, koska he työskentelevät lähdekoodin parissa. Tietomurrot kuten äskettäinen kokoelma #1 tapaus, jossa 773 miljoonaa tietuetta, mukaan lukien salasanat, vuodettiin, tekee salasanojen käytöstä etuoikeutettu pääsy, korkea riski. Kaikilla, jotka tarvitsevat etuoikeutettua pääsyä esimerkiksi lähdekoodivarastoihin, on oltava vankka todennus käytössä. Toinen tekijä, kuten mobiililaitteella vastaanotettu digitaalinen varmenne tai ajallisesti rajoitettu koodi ja FIDO-pohjaiset sovellukset, ovat esimerkkejä vahvasta ja/tai kaksivaiheisesta todennuksesta (2fa). Biometriikka on toinen luottotietolaji, joka voi tarjota vahvemman kulunvalvonnan verkon etuoikeutetulle alueelle. (9, 10)

toimintatavat ongelman hallitsemiseksi: millä tahansa verkon alueella, jolla on arkaluonteisia tietoja, mukaan lukien lähdekoodi, suunnittelumääritykset ja muut niihin liittyvät asiakirjat, olisi sovellettava 2FA: ta. On olemassa useita erilaisia teknologioita käytettävissä hallita pääsyä järjestelmän etuoikeutetuille alueille. Nämä ovat kuitenkin usein riippuvaisia sovelluksesta. Kehitystiimien usein hyödyntämät palvelut, kuten GitHub tarjoavat kaksivaiheisen tunnistautumisen. (11)

Linkitä tämä paras käytäntö takaisin parhaaseen käytäntöön 1 ja luo politiikkoja, jotka sisältävät vähiten etuoikeuksia koskevan mallin, toisin sanoen mahdollistavat pääsyn vain niille, jotka todella tarvitsevat sitä.

parhaat käytännöt 4: salauksen ja käyttäytymisanalytiikan/seurannan kaltaiset teknologiat

miksi tätä tarvitaan? Turvallisuus perustuu kerrokselliseen lähestymistapaan. Tämä tarkoittaa, että et voi soveltaa yhtä parasta käytäntöä ja toivoa, että se vähentää riskejä. Sen sijaan on käytettävä useita sekä teknisiä että ihmislähtöisiä parhaita käytäntöjä. Turvallisuus pitäisi ajatella prosessina.

erilaisia tekniikoita voidaan soveltaa maailmanlaajuisesti ja/tai osastoittain suojakerroksen kovettamiseksi.

Toimivia tapoja ongelman hallitsemiseksi: käyttämällä salaustekniikoita, koodien hämärtämistekniikoita ja valvomalla työntekijöitäsi ja alihankkijoitasi häiriöttömällä tavalla voit pitää asiat ajan tasalla ennen kuin niistä tulee vaaratilanteita. Sinun on aloitettava aivan kehitysprosessin alusta alkaen henkilöistä, jotka kehittävät ja/tai käyttävät koodia arkistoon, johon se on tallennettu, koodin jakamiseen ja julkaisemiseen.

Best Practice 5: politiikat, jotka sisältävät luottamusta mutta todentavat

miksi tätä tarvitaan? Tämä paras käytäntö yhdistää kaikki pyrkimyksesi suojella lähdekoodiasi. Tämä on filosofinen mantra, joka antaa pohjan käytännönläheiselle tavalle vähentää lähdekoodin paljastumisen lisäksi myös muita arkaluonteisia tietovuotoja. ”Trust but Verify” on kyse pragmaattisen luottamuksen luomisesta organisaatiosi sisällä. Blind trust ei toimi kuten 90 prosenttia sisäpiiriuhasta huolestuneista yrityksistä, todistaa. (12)

kannekelpoisia tapoja: Trust but Verify yhdistää sosiologiset ja teknologiset lähestymistavat lähdekooditurvallisuuteen. Se perustuu erinomaisen viestinnän kehittämiseen työntekijöidesi kanssa. Tämä sisältää: soveltamalla tietoturvavalistuskoulutusta, jotta kaikki laajennetut työntekijät ymmärtävät riskit; ottaa selkeät turvakäytännöt, jotka sisältävät koodin suojauksen; ja soveltamalla parasta käytettävissä olevaa teknologiaa, kuten tietojen menetyksen ehkäisyä, suojaamaan lähdekoodia.

johtopäätös

lähdekoodisi on immateriaalioikeuksiasi ja omistusoikeudellisia arkaluonteisia tietojasi. Suojaaminen tämä resurssi on perustarve tahansa organisaation, joka luo koodia. Lähdekoodin menetys ei vaikuta vain taloudelliseen tulokseen, se myös antaa kilpailijoille jalka ylös. Jos yrityksesi luo lähdekoodia, sinun täytyy varmistaa, että se pysyy organisaatiosi hallinnassa. Mutta lähdekoodi on erittäin arvokas hyödyke ja arvon mukana tulee riski.

riskin pienentämiseksi on noudatettava prosessia, joka sisältää parhaat käytännöt. Meidän 5 Parhaat käytännöt turvaamiseksi lähdekoodi on rakennettu syvä alan tietämystä. Jos noudatat heidän neuvojaan, yrityksesi voi hillitä lähdekoodin kehittämiseen liittyviä riskejä. Nämä parhaat käytännöt tarjoavat kerroksellisen lähestymistavan suojeluun, joka perustuu aikaisempiin käytäntöihin lisätäkseen syvyyttä ja lujuutta turvallisuuteesi. Näillä parhailla käytännöillä varmistetaan, että kaikkia sekä sisäisiä että ulkoisia uhkia torjutaan. Pitää koodin turvallinen on etusijalla maailmassa, jossa verkkorikollisuus on yleistä. Mutta yhtä lailla tahaton altistuminen voi käydä järjestöllesi kalliiksi.

Resurssit

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Kyberviiri: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, miksi kehittäjät varastavat lähdekoodia?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Breach Level Index: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Source-Code-Varkaus, Sisäpiiriuhka 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Source-Code-Theft: https://www.stop-source-code-theft.com/
  • Haagin suojelualue: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO-liitto: https://fidoalliance.org/specifications/
  • GitHub-Ohje: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Computer Associates: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Vastaa

Sähköpostiosoitettasi ei julkaista.