Ramy mające na celu poprawę bezpieczeństwa oprogramowania

Oprogramowanie odpowiada za działanie wielu aspektów dzisiejszego świata: od największych maszyn obliczeniowych, aż po urządzenia o rozmiarze nieprzekraczającym jednego układu scalonego. Oznacza to, że szanse na naruszenie bezpieczeństwa są dziś większe niż kiedykolwiek wcześniej. Co więcej, każdy użytkownik wie, że nawet najwyższej jakości oprogramowanie może mieć luki w zabezpieczeniach.

Ryzyko naruszeń i kradzieży danych staje się przy tym coraz większe w miarę wzrostu liczby urządzeń i czujników Internetu rzeczy (IoT), połączonych z siecią i pracujących na jej brzegu. Tego typu inteligentne rozwiązania mogą stanowić potencjalne punkty wejścia dla różnego typu agresorów. Dodajmy do tego przenośne urządzenia końcowe, rozwiązania sztucznej inteligencji (SI) i głębokiego uczenia, zaawansowane analizy, technologię blockchain i inne, a otrzymamy niezliczoną liczbę sposobów, dzięki którym oprogramowanie może stać się słabym ogniwem w łańcuchu bezpieczeństwa.

Na szczęście wciąż podejmowane są wysiłki, które mają na celu zwiększenie bezpieczeństwa oprogramowania. Jednym z przykładów są nowe ramy bezpiecznego oprogramowania opracowane przez BSA (The Software Alliance) — czołowe stowarzyszenie działające na rzecz globalnej branży oprogramowania.

”Rozwój na przestrzeni kilku ostatnich lat spowodował drastyczną ekspansję możliwości opartych na oprogramowaniu, począwszy od tradycyjnych komputerów i przemysłowych systemów sterowania, aż po różnorodne urządzenia osobiste, szeroko stosowane czujniki, inteligentne urządzenia, pojazdy połączone z siecią, systemy robotyki i nie tylko” — podkreśla BSA.

Zdaniem organizacji innowacje te napędzają rozwój nowej, połączonej z siecią gospodarki cyfrowej i mogą przynieść ogromne korzyści — zarówno gospodarcze, jak i społeczne. Rozwój technologii może jednak stanowić przyczynę zagrożeń ekonomicznych, prawnych i fizycznych, dlatego programiści muszą tworzyć rozwiązania, które pozostaną bezpieczne przez cały okres ich użytkowania.

Zdaniem BSA omawiane ramy to pierwsze tego rodzaju „elastyczne i kompleksowe” podejście do wyznaczania kierunku i oceny bezpieczeństwa oprogramowania. W sytuacji, w której przestępcy w coraz większym stopniu wykorzystują luki w oprogramowaniu do przeprowadzania ataków na strategiczne sieci i systemy, zachowanie bezpieczeństwa oprogramowania stało się niezwykle ważnym zadaniem.

Jak podkreśla BSA, programiści, użytkownicy końcowi i osoby decyzyjne potrzebują narzędzi, które pozwolą na opisywanie, ocenę i wspieranie bezpieczeństwa w całym cyklu życia oprogramowania — od jego opracowania do momentu wycofania z eksploatacji. Mimo iż dostępne są normy i wytyczne, które ułatwiają programistom osiągnięcie tego celu, jak dotąd nie istniały żadne skonsolidowane ramy, które łączyłyby w sobie najlepsze praktyki w sposób pozwalający na skuteczny pomiar zabezpieczeń — niezależnie od środowiska rozwoju i celu stosowania oprogramowania.

Jak twierdzi BSA, to się jednak zmieniło. BSA Framework for Secure Software to ramy opracowane w celu sprostania złożonym wyzwaniom w zakresie bezpieczeństwa poprzez elastyczne podejście: oparte na ryzyku, opłacalne i powtarzalne. Ramy te opisują podstawowe wskaźniki bezpieczeństwa w całym procesie tworzenia oprogramowania, proces zarządzania cyklem życia oprogramowania oraz możliwości bezpieczeństwa samego oprogramowania.

Celem modelu jest zapewnienie całej branży kompleksowego, elastycznego i odpowiedniego modelu bezpieczeństwa oprogramowania. Jak twierdzi BSA, przyjęcie elastycznego, zorientowanego na wyniki podejścia opartego na najlepszych praktykach i normach międzynarodowych, pozwoli na wykorzystanie tych ram w całym spektrum organizacji zajmujących się rozwojem i sprzedażą oprogramowania, a także w odniesieniu do wszystkich metod rozwoju oprogramowania i produktów programowych.

W celu skutecznej ochrony cyfrowego ekosystemu organizacje potrzebują sposobu oceny bezpieczeństwa oprogramowania, który będzie wystarczająco skuteczny, aby chronić oprogramowanie przed złośliwym wykorzystaniem, i wystarczająco elastyczny, aby uwzględnić wszystkie rodzaje i właściwości oprogramowania — wyjaśnia Victoria Espinel, prezes i dyrektor generalny BSA (The Software Alliance).

„W przeciwnym razie ryzykujemy zakłóceniem rozwoju innowacji lub niedotrzymaniem kroku rosnącej skali zagrożeń bezpieczeństwa cybernetycznego” — podkreśla Espinel.

Opracowywane ramy mają pomóc organizacjom zajmującym się rozwojem oprogramowania w opisywaniu aktualnego i docelowego stanu zabezpieczeń poszczególnych produktów programowych, identyfikowaniu możliwości poprawy procesów rozwoju i zarządzania cyklem życia oraz nadawaniu im priorytetów, ocenie postępów w osiąganiu stanu docelowego, a także komunikacji między wewnętrznymi i zewnętrznymi interesariuszami na temat zagrożeń i bezpieczeństwa oprogramowania.

BSA zwraca również uwagę na fakt, że model został zaprojektowany tak, aby odpowiadał wszystkim rodzajom oprogramowania: od instancji lokalnych po oprogramowanie SaaS oparte na chmurze. Ma on również zastosowanie do wszystkich rodzajów procesów rozwojowych, od modelu kaskadowego po DevOps, oraz pozwala oceniać zarówno proces, przy użyciu którego organizacja rozwija produkty i zarządza nimi, jak i same możliwości bezpieczeństwa produktów.

„Zadaniem modelu nie jest zastąpienie wytycznych dotyczących procesów zarządzania ryzykiem w organizacji, ale ich uzupełnienie” — wyjaśnia BSA. „Naszym celem jest maksymalne dostosowanie produktów do uznanych standardów międzynarodowych przy jednoczesnym zachowaniu elastyczności, zdolności adaptacyjnych, orientacji na wyniki i oparcia na ryzyku”.

Jak podkreśla organizacja, wraz z dalszym rozwojem innowacji i szybką ewolucją praktyk dotyczących oprogramowania, ramy będą nieprzerwanie aktualizowane i doskonalone w oparciu o bieżące informacje zwrotne i kolejne osiągnięcia techniczne.

„Oprogramowanie staje się coraz ważniejsze w naszym życiu, dlatego zapewnienie jego bezpieczeństwa i niezawodności ma tak ogromne znaczenie w obliczu rozległego, nieustannie ewoluującego środowiska zagrożeń”