الابتكارات لتعزيز التطوير الآمن من خلال التصميم
سيستفيد قادة الأمن ومطورو البرامج من رؤية أعمق لموقف أمن تطوير البرامج في مؤسساتهم أثناء عملهم، مما يعزز التحركات نحو النيرفانا لما يسمى بالكود الآمن من خلال التصميم، مع تقديم حل هو الأول من نوعه في الصناعة من المتخصصين في القطاع محارب الكود الآمن (SCW).
يأتي وكيل SCW Trust في أعقاب تقديم SCW Trust Score، وهو معيار صناعي يقيس – لأول مرة – كفاءة الأمن لدى مطوري البرامج داخل المؤسسات.
تستخدم نفس مجموعة البيانات التي تضم ملايين نقاط التعلم التي تم جمعها من مئات الآلاف من المطورين لمساعدة المستخدمين على فهم ما إذا كان الالتزام بالكود في مستودعات مفتوحة المصدر تعتمد على Git أمراً جيداً، أو ما إذا كان من الممكن أن يشكل خطراً في المستقبل. وتأمل الشركة أن يصبح الحل جزءاً لا يتجزأ من دورة حياة تطوير البرمجيات الآمنة.
قال بيتر دانهيو، المؤسس المشارك والرئيس التنفيذي للشركة: “في Secure Code Warrior، نعمل على فتح قيمة جديدة لمديري أمن المعلومات من خلال منحهم حلاً سهل النشر لقياس صحة عمليات الالتزام بالكود والرؤية لمئات مستودعات الكود المصدر في مؤسستهم”.
“إن ابتكاراتنا تضع المؤسسات في وضع أفضل لسد فجوة الرؤية بين مهارات المطور وجودة الكود المنتج دون التضحية بسرعة التطوير.”
سيعمل Trust Agent مع أي مستودع قائم على Git، بما في ذلك GitHub وGitLab وAtlassian Bitbucket وغيرها. ويعمل عن طريق فحص التعليمات البرمجية الملتزمة لمعرفة ما إذا كان الشخص الذي قام بالتحميل قد تم تصنيفه على أنه يمتلك مجموعة المهارات اللازمة لكتابة التعليمات البرمجية الآمنة في لغة برمجة هذا الالتزام، ويستخدم هذه المعلومات لتقييم صحة الالتزام. ومن الممكن بعد ذلك تجميع هذه التقييمات الخاصة عبر مستودعات أخرى.
تعتقد شركة SCW أن Trust Agent سوف يوفر قدرًا أكبر من التحكم والمرونة عندما يتعلق الأمر بمراقبة المطورين. على سبيل المثال، سوف يسمح للمسؤولين بإعداد سياسات ومعايير للتأكد من أن المطورين يلبون مجموعة أساسية من التوقعات قبل بدء العمل، وفي حالة وجود أي فجوات في المهارات يتم تحديدها من خلال استخدامه، يمكن استخدام منصة التعلم السريع الخاصة بالشركة.
وبشكل عام، قالت الشركة إن الحل سيوفر ضوابط أمنية محسنة، مع تكوينات سياسة قابلة للتخصيص بناءً على حساسية احتياجات المشروع؛ ورؤية شاملة، بما في ذلك رؤى قابلة للتنفيذ حول وضع الأمان لعمليات الالتزام بالكود؛ والأمان بقيادة المطور على نطاق واسع، مما يتيح تسليم المشاريع بشكل أسرع وأكثر أمانًا، مع تحرير فرق أمن التطبيقات للتركيز على المراجعات الأكثر حساسية.
فوضى الحشد
في حين لم تزعم شركة SCW ما إذا كانت حلولها قادرة بشكل جماعي على تجنب الفوضى الناجمة عن تحديث CrowdStrike المشبوه الذي تم إجراؤه مؤقتًا تعطل ملايين أجهزة الكمبيوتر التي تعمل بنظام Windows وفي الأسبوع الماضي، جاء الإطلاق في وقت أصبحت فيه سلامة تطوير البرمجيات على رأس جدول الأعمال.
لكن، مع القضية التي أدت إلى الحادث تم التعرف عليه الآن بثقة ثغرة أمنية شائعة نسبيًا في برمجيات C++ المعروف باسم إلغاء المرجع الصفري في ذاكرة النواة، كرر دانهيو الدعوات الأخيرة من السلطات الأمنية – مثل CISA في الولايات المتحدة – حث المطورين على الابتعاد عن اللغات غير الآمنة للذاكرة لتجنب مثل هذه الثغرات بشكل أفضل.
الكتابة على منصة التواصل الاجتماعي LinkedInقال إن هذا كان ليشكل طلبًا صعبًا بالنسبة لشركة CrowdStrike. وذلك لأن معظم أكواد مستوى النواة مكتوبة بلغة C++، وبالتالي فإن الأشياء التي يتم تحميلها إلى ذاكرة النواة، أو التي تحتاج إلى الوصول إليها، مثل اكتشاف نقاط النهاية والاستجابة لها (EDR) في حالة CrowdStrike، سوف تحتاج إلى استخدامها في المستقبل المنظور.
وقال دانهيو إن أخطاء إلغاء المرجع الصفري يمكن أن تحدث في ظروف متعددة وكانت “أخطاء بريئة إلى حد ما وسهلة الوقوع”.
ومع ذلك، أضاف أنه يتعين على المنظمات اتخاذ خطوات لتجنب هذه الثغرات في مشاريعها. وأوضح: “بمجرد اكتشافها من قبل أحد المهاجمين، فقد يتم استخدامها في هجوم رفض الخدمة أو ببساطة تعطل التطبيق أو نظام التشغيل بأكمله”.
وأضاف دانهيو: “تحتوي SCW على إرشادات ترميز خاصة باللغة، ومقاطع فيديو تعليمية صغيرة، وتحديات ترميز عملية متعددة في C/C++ حول إلغاء المرجع الصفري”.