Inisiatif Secure by Design di SolarWinds
Inisiatif Secure by Design di SolarWinds mencakup sejumlah perubahan terkait keamanan, termasuk penerapan autentikasi multi-faktor, kebijakan firewall yang lebih ketat, dan perluasan Pusat Operasi Keamanan (Security Operations Center). Salah satu komponen utama dari Secure by Design adalah fokus yang lebih tajam pada keamanan rantai pasokan. Kami menggunakan SLSA, standar industri yang sedang berkembang untuk keamanan rantai pasokan, sebagai panduan pemikiran dan pengukuran keberhasilan kami.
Keamanan Rantai Pasokan
Dalam produk fisik, rantai pasokan adalah serangkaian bahan mentah dan aktivitas yang diperlukan untuk menghasilkan produk jadi. Di dunia perangkat lunak, bahan mentah digantikan oleh pustaka perangkat lunak, kompilator, dan perangkat keras komputer. Aktivitas dalam rantai pasokan perangkat lunak mencakup segala hal mulai dari pengembang yang memeriksa kode hingga operasi skrip di server build. Bahan dan aktivitas dalam rantai pasokan harus diamankan untuk menghasilkan produk akhir yang aman.
Apa Itu SLSA?
Sebagai tanggapan terhadap meningkatnya risiko serangan rantai pasokan, beberapa organisasi meluncurkan Supply chain Levels for Software Artifacts (SLSA). Ini diucapkan “salsa,” yang lebih menyenangkan untuk dikatakan. SLSA mendefinisikan serangkaian kontrol keamanan yang membuat manipulasi rantai pasokan menjadi lebih sulit. Spesifikasi v0.1 masih dianggap berada di tingkat alpha, tetapi ini merupakan kerangka kerja yang berguna untuk memahami model ancaman dan langkah-langkah pengamanan proses build perangkat lunak yang sesuai.
Tingkat Keamanan SLSA
Kerangka kerja SLSA mendefinisikan empat tingkat keamanan, mirip dengan lima tingkat Software Capability Maturity Model (CMM) dari Carnegie Mellon. Secara teknis, ada juga SLSA tingkat 0 yang tidak memberikan jaminan apa pun. SLSA 1 adalah tingkat pertama yang patut diperhatikan. Ini mengharuskan proses build yang sepenuhnya otomatis yang menghasilkan provenance: metadata tentang kode sumber, dependensi, dan proses build. Pada tingkat tertinggi, SLSA 4 mengharuskan dua peninjau untuk setiap perubahan kode dan build yang bersifat hermetik serta dapat direproduksi. “Hermetik” berarti langkah-langkah build dapat dijalankan tanpa akses jaringan setelah semua dependensi diperoleh. Sebuah build hermetik membuktikan bahwa daftar dependensi lengkap.
Persyaratan SLSA
Untuk mencapai salah satu tingkat SLSA, proses build Anda harus memenuhi serangkaian persyaratan yang telah ditentukan. Setiap tingkat memperluas serangkaian persyaratan dari tingkat sebelumnya. Persyaratan ini terbagi dalam kategori luas: sumber (source), build, provenance, dan umum (common).
Persyaratan sumber menentukan cara penanganan kode sumber, termasuk penggunaan sistem kontrol versi, commit yang terverifikasi, dan kebijakan retensi.
Persyaratan build mencakup otomasi build, build hermetik, dan reproduksi bit-for-bit. Contoh lainnya adalah penggunaan lingkungan build sementara (ephemeral), yang membuat penyerang lebih sulit untuk mendapatkan pijakan permanen di agen build.
Persyaratan provenance berkaitan dengan autentikasi dan katalogisasi semua dependensi build.
Persyaratan umum adalah kategori tambahan untuk keamanan fisik, keamanan TI, dan kontrol akses.
SLSA di SolarWinds
Seperti banyak organisasi lainnya, SolarWinds tidak sepenuhnya sesuai dengan salah satu tingkat SLSA. Tingkat kematangan proses build bervariasi antar produk dalam organisasi. Kami telah memenuhi banyak persyaratan dari SLSA 4, tetapi masih ada beberapa celah yang perlu diatasi. Pada akhirnya, yang terpenting adalah membangun perangkat lunak yang dapat digunakan pelanggan kami dengan percaya diri. SLSA memberikan kerangka kerja yang berguna untuk memahami rantai pasokan perangkat lunak, mengidentifikasi ancaman, dan memprioritaskan perbaikan. Kami bekerja keras untuk mencapai kepatuhan penuh dengan SLSA 4.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan solarwinds indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi solarwinds.ilogoindonesia.id untuk informasi lebih lanjut!