വർഷങ്ങളായി, ആക്രമണകാരികൾ ആപ്ലിക്കേഷനുകൾ ഒന്നൊന്നായി പിന്തുടർന്നു. അവർ തന്ത്രങ്ങൾ മാറ്റി: നിങ്ങൾക്ക് വിട്ടുവീഴ്ച ചെയ്യാൻ കഴിയുമ്പോൾ എന്തിനാണ് ഒരു ആപ്പിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നത് pipeline അത് പലതും നിർമ്മിക്കുന്നുണ്ടോ? സൈജെനിയുടെ മാൽവെയർ മുൻകൂർ മുന്നറിയിപ്പ് (MEW) കണ്ടെത്തി 2025-ൽ 4,452 ക്ഷുദ്ര പാക്കേജുകൾ ഒപ്പം 2026-ൽ ഇതുവരെ 1,281 എണ്ണം കൂടികഴിഞ്ഞ കുറച്ച് വർഷങ്ങളായി നടന്ന ഓരോ പ്രധാന സംഭവവും സോഫ്റ്റ്വെയർ ഡെലിവറി ശൃംഖലയിൽ വ്യത്യസ്തമായ ഒരു കണ്ണിയിൽ ചെന്ന് പതിച്ചിട്ടുണ്ട്:
- സോളാർ വിൻഡ്സ് (2020): നിർമ്മാണ-പരിസ്ഥിതി വിട്ടുവീഴ്ച; 18,000 ഉപഭോക്താക്കൾക്ക് ബാക്ക്ഡോർ അപ്ഡേറ്റുകൾ അയച്ചു.
- കോഡെകോവ് (2021): തെറ്റായി കോൺഫിഗർ ചെയ്ത ഒരു ഡോക്കർ ഇമേജ് ആക്രമണകാരികൾക്ക് ഒരു ബാഷ് അപ്ലോഡർ സ്ക്രിപ്റ്റ് പരിഷ്ക്കരിക്കാൻ അനുവദിക്കുന്നു, 23,000-ത്തിലധികം ഉപഭോക്താക്കളിൽ നിന്ന് CI രഹസ്യങ്ങൾ ചോർത്തുന്നു.
- സർക്കിൾസിഐ (2023): ഒരു എഞ്ചിനീയറുടെ ലാപ്ടോപ്പിലെ സെഷൻ-കുക്കി മോഷണം പ്രൊഡക്ഷൻ ആക്സസ് ടോക്കണുകളായി മാറി; ഓരോ ഉപഭോക്താവിനും ഓരോ രഹസ്യവും തിരിക്കാൻ പറഞ്ഞു.
- XZ യൂട്ടിലിസ് ബാക്ക്ഡോർ (2024) :ഏകദേശം എല്ലാ ലിനക്സ് വിതരണങ്ങളിലേക്കും എത്തിയ ഒരു മൾട്ടി-വർഷ സോഷ്യൽ എഞ്ചിനീയറിംഗ് കാമ്പെയ്ൻ.
- ടിജെ-ആക്ഷൻസ് (2025) — 23,000+ റിപ്പോസിറ്ററികൾ ഉപയോഗിക്കുന്ന ഒരു ഘടകത്തെ വിഷലിപ്തമാക്കിയ ഒരു GitHub Actions സപ്ലൈ-ചെയിൻ കാസ്കേഡ്.
- ആക്രമണങ്ങൾ അക്വാ ട്രിവി ഒപ്പം ചെക്ക്മാർക്സ് (2026) — TeamPCP കാമ്പെയ്ൻ വ്യാപകമായി ഉപയോഗിക്കപ്പെടുന്ന രണ്ട് സുരക്ഷാ സ്കാനറുകളെ ആക്രമണ വെക്റ്ററുകളാക്കി മാറ്റി, തുടർന്ന് മോഷ്ടിച്ചവ ഉപയോഗിച്ചു. CI/CD npm, OpenVSX, PyPI എന്നിവയിലേക്ക് ഡൗൺസ്ട്രീം കാസ്കേഡ് ചെയ്യുന്നതിനുള്ള ക്രെഡൻഷ്യലുകൾ.
ഓരോ ആക്രമണവും വ്യത്യസ്ത ഭാഗത്തെ ചൂഷണം ചെയ്തു. pipeline: ബിൽഡ് എൻവയോൺമെന്റ്, CI ടൂളിംഗ്, ഡിപൻഡൻസികൾ, ഡെവലപ്പർ ക്രെഡൻഷ്യലുകൾ, മെയിന്റനർ ട്രസ്റ്റ്, ആർട്ടിഫാക്റ്റുകളിലേക്കുള്ള മ്യൂട്ടബിൾ റഫറൻസുകൾ. മിക്ക ഓർഗനൈസേഷനുകളും പോയിന്റ് നിയന്ത്രണം, CI-യിൽ ഒരു സ്കാനർ, IdP-യിൽ 2FA, ബ്രാഞ്ച് സംരക്ഷണം എന്നിവ ഉപയോഗിച്ച് പ്രതികരിക്കുന്നു. main. സാധാരണയായി ഇല്ലാത്തത് ചോദിക്കാനുള്ള ഒരു മാർഗമാണ് ഞങ്ങൾ വ്യവസ്ഥാപിതമായി പരിരക്ഷിക്കപ്പെടുന്നുണ്ടോ? അതിലും കൂടുതൽ കഴിഞ്ഞ സംഭവത്തിന് ശേഷം നമ്മൾ X പ്രവർത്തനക്ഷമമാക്കാൻ ഓർമ്മിച്ചോ?
ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി വെണ്ടർമാർ വ്യക്തമായ കാഴ്ചപ്പാടിൽ ഇരിക്കുന്നു, അവരുടെ ആർട്ടിഫാക്റ്റുകളെ വിശ്വസിക്കുന്ന എല്ലാ ഉപഭോക്താക്കൾക്കും ഒരു പരിധി വരെ എത്തിച്ചേരാൻ കഴിയും. റിയാക്ടീവ് നിയന്ത്രണങ്ങളിൽ നിന്ന് ഒരു വ്യവസ്ഥാപിത നിലപാടിലേക്ക് മാറാനുള്ള സമ്മർദ്ദം സൈദ്ധാന്തികമല്ല. അത് മുൻകാലമാണ്cisOWASP SPVS സ്വീകരിക്കാൻ എലിയെ പ്രേരിപ്പിച്ചത് എന്താണ്? standard ഒരു മുൻഗണനാ പദ്ധതിയായി.
എന്താണ് SPVS, എന്തുകൊണ്ട് ഘടന പ്രധാനമാണ്
ഉത്ഭവ കഥ ലളിതമാണ്. LASCON 2023-ൽ, ഫർഷാദ് അബാസിയും കാമറൂൺ വാൾട്ടേഴ്സും പരസ്പരം ഒരേ ചോദ്യം ചോദിച്ചുകൊണ്ടിരുന്നു: ASVS എവിടെയാണ്? pipelineഎസ്? OWASP ASVS ആപ്ലിക്കേഷൻ സുരക്ഷയ്ക്ക് സമഗ്രവും പരിശോധിക്കാവുന്നതുമായ ഒരു വ്യവസ്ഥ നൽകിയിരുന്നു standard. എന്നതിന് തുല്യമായ ഒന്നും നിലവിലില്ല. CI/CD.
OWASP ടോപ്പ് 10 ഉണ്ടായിരുന്നു CI/CD അവബോധത്തെ അടിസ്ഥാനമാക്കിയുള്ളതും പരീക്ഷിക്കാവുന്നതുമല്ലാത്തതുമായ അപകടസാധ്യതകൾ; നിർമ്മാണ ഉറവിടങ്ങളിൽ മാത്രം ശ്രദ്ധ കേന്ദ്രീകരിച്ച SLSA; ആശ്രിതത്വ ഉപഭോഗത്തിൽ മാത്രം ശ്രദ്ധ കേന്ദ്രീകരിച്ച S2C2F; കൂടാതെ OpenSSF സ്കോർകാർഡ്, നിർദ്ദിഷ്ട റിപ്പോസിറ്ററി പരിശോധനകൾ ഉൾപ്പെടുത്തിയിരുന്നു. ഓരോന്നും ഒരു ഭാഗം ഉൾപ്പെടുത്തിയിരുന്നു. ഒന്നും മുഴുവൻ ഉൾപ്പെടുത്തിയിരുന്നില്ല.
| ഫ്രെയിംവർക്ക് അല്ലെങ്കിൽ പ്രോജക്റ്റ് | പ്രാഥമിക സ്കോപ്പ് |
|---|---|
| OWASP ടോപ്പ് 10 CI/CD അപകടവും | അവബോധജന്യമായ CI/CD പരിശോധിക്കാവുന്ന സ്ഥിരീകരണമല്ല, അപകടസാധ്യതാ മാർഗ്ഗനിർദ്ദേശം standard. |
| എസ്എൽഎസ്എ | ഉത്ഭവസ്ഥാനവും പുരാവസ്തു സമഗ്രതയും കെട്ടിപ്പടുക്കുക. |
| എസ്2സി2എഫ് | സുരക്ഷിതമായ ആശ്രിതത്വ ഉപഭോഗം. |
| OpenSSF സ്കോർകാർഡ് | പ്രത്യേക റിപ്പോസിറ്ററി-ലെവൽ സുരക്ഷാ പരിശോധനകൾ. |
വിടവ്: ഓരോ ചട്ടക്കൂടും ഒരു പ്രധാന ഭാഗം ഉൾക്കൊള്ളുന്നു software supply chain security, പക്ഷേ ആരും അവസാനം മുതൽ അവസാനം വരെ, പരിശോധിക്കാവുന്നത് നൽകിയിട്ടില്ല standard മുഴുവൻ CI/CD pipeline.
ആ സംഭാഷണം രണ്ട് വർഷത്തെ പ്രവർത്തനമായി മാറി, 2025 ഒക്ടോബറിൽ SPVS വർക്കിംഗ് ഗ്രൂപ്പ് v1.0 പുറത്തിറക്കി: ജീവിതചക്രത്തിലുടനീളം 127 ആവശ്യകതകൾ, പ്ലാൻ ചെയ്യുക, വികസിപ്പിക്കുക, സംയോജിപ്പിക്കുക, റിലീസ് ചെയ്യുക, പ്രവർത്തിപ്പിക്കുക, മൂന്ന് മെച്യൂരിറ്റി ലെവലുകളായി തരംതിരിക്കുക: L1 ഫൗണ്ടേഷണൽ, L2 Standard, L3 അഡ്വാൻസ്ഡ്. എല്ലാ ആവശ്യകതകളും NIST SP 800-53, OWASP എന്നിവയിലേക്ക് മാപ്പ് ചെയ്തിരിക്കുന്നു. CI/CD ടോപ്പ് 10, സിഡബ്ല്യുഇ.

ഘടനയാണ് പ്രധാന കാര്യം. SPVS രചയിതാക്കളുടെ സ്വന്തം വാക്കുകളിൽ:
"നിങ്ങളുടെ മുഴുവൻ pipeline, ഒരു കഷണം മാത്രമല്ല. മിക്ക ഓർഗനൈസേഷനുകളും ബുദ്ധിമുട്ടുന്നത് ഇവിടെയാണ്. അവർ ഡിപൻഡൻസികൾ സ്കാൻ ചെയ്യുന്നു, പക്ഷേ റിലീസ് ഗവേണൻസ് അവഗണിക്കുന്നു. അവർ ആർട്ടിഫാക്റ്റുകളിൽ ഒപ്പിടുന്നു, പക്ഷേ അവരുടെ മോഡലിനെ ഭീഷണിപ്പെടുത്തുന്നില്ല. pipeline "വാസ്തുവിദ്യ. അവർ ഉൽപ്പാദനം നിരീക്ഷിക്കുന്നു, പക്ഷേ അവരുടെ നിർമ്മാണ പരിതസ്ഥിതികളെയല്ല."
ഇവിടെയാണ് മിക്ക സ്ഥാപനങ്ങളും ബുദ്ധിമുട്ടുന്നത്. അവർ ഡിപൻഡൻസികൾ സ്കാൻ ചെയ്യുന്നു, പക്ഷേ റിലീസ് ഗവേണൻസ് അവഗണിക്കുന്നു. അവർ ആർട്ടിഫാക്റ്റുകളിൽ ഒപ്പിടുന്നു, പക്ഷേ അവരുടെ മോഡലിന് ഭീഷണിയല്ല. pipeline വാസ്തുവിദ്യ. അവർ ഉൽപ്പാദനം നിരീക്ഷിക്കുന്നു, പക്ഷേ അവരുടെ നിർമ്മാണ പരിതസ്ഥിതികളെയല്ല.
ഇതാണ് ശ്രമത്തെ ന്യായീകരിക്കുന്ന പ്രബന്ധം. ഒരു ഘട്ടത്തിലെ ശക്തികൾ മറ്റൊരു ഘട്ടത്തിലെ ബലഹീനതകളെ നികത്തുന്നില്ല. ആക്രമണകാരികൾക്ക് തകർക്കാൻ ഒരു കണ്ണി മാത്രം മതി. ഒരു ജീവിതചക്രം. standard അവയെല്ലാം പരിശോധിക്കാൻ നിങ്ങളെ നിർബന്ധിക്കുന്നു, കൂടാതെ L1 മുതൽ L2 മുതൽ L3 വരെയുള്ള പുരോഗതി സമുദ്രം തിളപ്പിക്കാതെ തന്നെ അത് ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു. SPVS SLSA, S2C2F, സ്കോർകാർഡ് അല്ലെങ്കിൽ സിഗ്സ്റ്റോർ എന്നിവയ്ക്ക് പകരമാവില്ല; അവ ഓരോന്നും എവിടെയാണ് യോജിക്കുന്നതെന്ന് നിങ്ങളെ അറിയിക്കുന്ന സ്കാർഫോൾഡിംഗ് ഇത് നിങ്ങൾക്ക് നൽകുന്നു.
പൊരുത്തപ്പെടുത്തൽ Standard നിങ്ങളുടെ സ്ഥാപനത്തിലേക്ക്
സ്വാഭാവികമായ ആദ്യപടി, ഓരോ ആവശ്യകതയ്ക്കും അനുസൃതമായി നിങ്ങളുടെ സ്ഥാപനത്തിന്റെയും സോഫ്റ്റ്വെയർ ഇൻഫ്രാസ്ട്രക്ചറിന്റെയും നേരിട്ടുള്ള ഓഡിറ്റ് നടത്തുക എന്നതാണ്. ഔദ്യോഗികമായി നിന്ന് ശേഖരിച്ച ഒരു Google ഷീറ്റ് SPVS ആവശ്യകതകൾ CSV ഒരു ആരംഭ പോയിന്റായി നന്നായി പ്രവർത്തിക്കുന്നു. മൂന്ന് കാഴ്ചകൾ ഉപയോഗപ്രദമാണ്: സ്റ്റാറ്റസും ഉടമയും ഓരോ നിയന്ത്രണത്തിനും ഉള്ള ഒരു ആവശ്യകത മാട്രിക്സ്, ഓരോ റിപ്പോസിറ്ററി ഹീറ്റ്മാപ്പ്, കൂടാതെ ഒരു dashboard ഘട്ടം, തലം എന്നിവ അനുസരിച്ചുള്ള പുരോഗതിയുടെ ഒരു വിവരണം. പദ്ധതി മുതൽ പ്രവർത്തനം വരെയുള്ള ഓരോ ഘട്ടത്തെയും ഉൾക്കൊള്ളുന്ന ഒരു ജീവസുറ്റ രേഖയായ ഒരു സാങ്കേതിക റോഡ്മാപ്പിലേക്ക് ഔട്ട്പുട്ട് സ്വാഭാവികമായി ഫീഡ് ചെയ്യുന്നു.
ഈ പ്രാരംഭ മാപ്പിംഗ് നടത്തുമ്പോൾ മിക്ക പക്വതയുള്ള എഞ്ചിനീയറിംഗ് സ്ഥാപനങ്ങളും L2 ന് ചുറ്റും തന്നെയായിരിക്കും. അത് യഥാർത്ഥത്തിൽ ഒരു നല്ല സ്ഥാനമാണ്: അതായത് ആദ്യ ഘട്ടത്തിൽ ആദ്യം മുതൽ അടിത്തറ പണിയുന്നതിനുപകരം നിർദ്ദിഷ്ട വിടവുകൾ അടയ്ക്കുന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കാൻ കഴിയും.
എന്നിരുന്നാലും, ഒരു സ്പ്രെഡ്ഷീറ്റ് ഒരു സ്നാപ്പ്ഷോട്ട് ആണ്, SPVS കൂടുതൽ ആവശ്യപ്പെടുന്നു. V1.1.7 VCS അഡ്മിനിസ്ട്രേറ്റർമാരുടെ ത്രൈമാസ ഓഡിറ്റ് നിർബന്ധമാക്കുന്നു; V5.1.1 മുതൽ V5.1.3 വരെയുള്ളവയിൽ പതിവ് ഉപയോക്തൃ ഓഡിറ്റുകൾ, ആക്സസ്-ലോഗ് അവലോകനം, പ്രിവിലേജ്ഡ്-ആക്സസ് മോണിറ്ററിംഗ് എന്നിവ ചേർക്കുന്നു; നിരവധി V2.1.x, V3.3.x, V4.2.x നിയന്ത്രണങ്ങൾക്ക് തുടർച്ചയായ വർക്ക്ഫ്ലോ-YAML ശുചിത്വം ആവശ്യമാണ്. ഓർഗനൈസേഷനിലുടനീളം കൈകൊണ്ട് പ്രവർത്തിക്കുക, അതായത് നിശബ്ദമായ ഒഴിവാക്കലുകളുടെ യഥാർത്ഥ അപകടസാധ്യതയുള്ള ഓരോ പാദത്തിലും പകുതി ദിവസത്തെ ക്ലിക്ക്-ട്രാക്കിംഗ്. ഇത് ഓട്ടോമേറ്റ് ചെയ്യപ്പെടുന്നതോ അല്ലെങ്കിൽ എന്തെങ്കിലും മോശം സംഭവിച്ചതിന് ശേഷം മാത്രം അവലോകനം ചെയ്യപ്പെടുന്നതോ ആയ തരത്തിലുള്ള ജോലിയാണ്.
ചില SPVS നിയന്ത്രണങ്ങൾ ഒറ്റത്തവണ ചെക്ക്ലിസ്റ്റ് ഇനങ്ങളല്ല. അവയ്ക്ക് ആവർത്തിച്ചുള്ള അവലോകനം, ഓഡിറ്റ് തെളിവുകൾ, റിപ്പോസിറ്ററികൾ, ഉപയോക്താക്കൾ, വർക്ക്ഫ്ലോകൾ, പ്രിവിലേജ്ഡ് ആക്സസ് എന്നിവയിലുടനീളം ഡ്രിഫ്റ്റ് കണ്ടെത്തൽ എന്നിവ ആവശ്യമാണ്.
| SPVS ഏരിയ | ആവശ്യകത തരം |
|---|---|
V1.1.7 | വിസിഎസ് അഡ്മിനിസ്ട്രേറ്റർമാരുടെ ത്രൈമാസ ഓഡിറ്റ്. |
V5.1.1–V5.1.3 | പതിവ് ഉപയോക്തൃ ഓഡിറ്റുകൾ, ആക്സസ്-ലോഗ് അവലോകനം, പ്രിവിലേജ്ഡ്-ആക്സസ് നിരീക്ഷണം. |
V2.1.x, V3.3.x, V4.2.x | YAML ശുചിത്വത്തിന്റെ നിലവിലുള്ള വർക്ക്ഫ്ലോ. |
ഓർഗനൈസേഷൻ-ഉടമ ഐഡന്റിറ്റിക്ക് കീഴിൽ പ്രവർത്തിക്കുന്ന ഒരു ഘടനാപരമായ ത്രൈമാസ ബണ്ടിൽ നിർമ്മിക്കുന്ന ടൂളിംഗ് നിർമ്മിക്കുകയോ സ്വീകരിക്കുകയോ ചെയ്യുക എന്നതാണ് ഉത്തരം: അഡ്മിൻ റോസ്റ്റർ, ബ്രാഞ്ച് പ്രൊട്ടക്ഷൻ, CODEOWNERS കവറേജ്, പിൻ ചെയ്ത പ്രവർത്തനങ്ങളുള്ള വർക്ക്ഫ്ലോ YAML ശുചിത്വം, വ്യക്തമായ അനുമതികൾ, pull_request_target ഗേറ്റിംഗ്, അംഗം 2FA, GitHub ആപ്പുകൾ ഇൻസ്റ്റാൾ ചെയ്തു, കീകൾ വിന്യസിച്ചു. സ്പ്രെഡ്ഷീറ്റ് പുരാവസ്തുഗവേഷണത്തിന്റെ അര ദിവസത്തെ ഒരു കാലഘട്ടം JSON, Markdown എന്നിവ പുറപ്പെടുവിക്കുന്ന ഒരൊറ്റ കമാൻഡായി മാറുന്നു. ഇവ തമ്മിലുള്ള ത്രൈമാസ അവലോകനം CISO, org അഡ്മിനിസ്ട്രേറ്റർമാർ ഒരു ഡി ആയി മാറുന്നുcisഡാറ്റാ ശേഖരണമല്ല, മറിച്ച് അയോൺ മീറ്റിംഗും, പ്രവർത്തനക്ഷമമായ കണ്ടെത്തലുകളും തീവ്രത അടിസ്ഥാനമാക്കിയുള്ള SLA-കളിൽ ബാക്ക്ലോഗ് പ്രശ്നങ്ങളായി മാറുന്നു.
അംഗീകൃത അഡ്മിൻമാർ, അംഗീകൃത ആപ്പുകൾ, റിപ്പോസിറ്ററികൾക്കും വർക്ക്ഫ്ലോകൾക്കുമുള്ള ഫംഗ്ഷൻ പ്രകാരമുള്ള അനുമതികൾ എന്നിവ ഉൾപ്പെടുന്ന ഒരു അനുവാദ പട്ടിക നയം, സുരക്ഷാ ടീമിന്റെ പിആർ അവലോകനം വഴി ഗേറ്റ് ചെയ്യപ്പെടുന്ന ഒരു പതിപ്പ് നിയന്ത്രിത ശേഖരത്തിൽ YAML ആയി നിലനിൽക്കണം. ഏതൊരു അനുവാദ പട്ടിക മാറ്റവും ഒരു അവലോകന പാത വിടുന്നു, അതിനാൽ ഓഡിറ്റ് തെളിവുകൾ സ്വയം സൃഷ്ടിക്കപ്പെടുന്നു. "നമ്മൾ ത്രൈമാസികമായി ഓഡിറ്റ് ചെയ്യണം" പോലുള്ള അഭിലാഷകരമായ നിയന്ത്രണങ്ങളെ "ഈ പാദത്തിലെ ഓഡിറ്റ് തിങ്കളാഴ്ച എത്തി" പോലുള്ള പതിവ് നിയന്ത്രണങ്ങളാക്കി മാറ്റുകയും എൻഡ്-ടു-എൻഡ് തത്വം ആവശ്യപ്പെടുന്ന ഡ്രിഫ്റ്റ്-ഡിറ്റക്ഷനായി ഓർഗനൈസേഷന് ആവർത്തിക്കാവുന്ന ഒരു സംവിധാനം നൽകുകയും ചെയ്യുക എന്നതാണ് ഇതിന്റെ ഫലം.
നിങ്ങൾ ആസൂത്രണം ചെയ്യേണ്ട സംഘർഷങ്ങൾ
സാങ്കേതിക നിയന്ത്രണങ്ങളാണ് ഏറ്റവും എളുപ്പമുള്ള ഭാഗം. ആളുകൾ കൂടുതൽ കഠിനരാണ്.
ഏറ്റവും ശ്രദ്ധേയമായ ഉദാഹരണം എപ്പോഴും CODEOWNERS ആണ്. .github/workflows/ @your-org/security ഓരോ റിപ്പോയിലും ഇത് നിസ്സാരമായി തോന്നുന്നു. ഒരു ഫയൽ, ഒരു വരി. എന്നാൽ വർഷങ്ങളായി വർക്ക്ഫ്ലോ മാറ്റങ്ങൾ സ്വയം ലയിപ്പിച്ച എഞ്ചിനീയർമാർക്ക് ഇപ്പോൾ ഒരു സുരക്ഷാ അവലോകനം ആവശ്യമാണ് എന്നാണ് ഇതിനർത്ഥം. സുരക്ഷാ ബോധമുള്ള ആളുകൾ പോലും ഇതിനെ എതിർക്കുന്നു: ഞാൻ ഈ വർക്ക്ഫ്ലോ എഴുതി, എനിക്ക് അത് മനസ്സിലായി, ഞാൻ എന്തിനാണ് കാത്തിരിക്കുന്നത്?
കാരണം സ്ഥാപിക്കാൻ യഥാർത്ഥ സംഭാഷണം ആവശ്യമാണ്. വർക്ക്ഫ്ലോകൾക്ക് യോഗ്യതകളെ പുറന്തള്ളാനും, ആർട്ടിഫാക്റ്റുകൾ വഴിതിരിച്ചുവിടാനും, താഴെയുള്ള ഉപഭോക്താക്കളെ വിഷലിപ്തമാക്കാനും കഴിയും. രണ്ടാമത്തെ ജോഡി കണ്ണുകൾ അവിശ്വാസമല്ല; ഉൽപ്പാദന ഡാറ്റാബേസ് മാറ്റങ്ങളെക്കുറിച്ചുള്ള നാല് കണ്ണുകൾ പോലെ തന്നെയാണിത്. വ്യവസായത്തിൽ നിന്നോ നിങ്ങളുടെ സ്വന്തം പരിസ്ഥിതിയിൽ നിന്നോ ആയാലും, അടുത്തിടെയുള്ള ഒരു വിതരണ ശൃംഖല സംഭവം ചൂണ്ടിക്കാണിക്കുന്നത് വളരെയധികം സഹായിക്കുന്നു. നിയന്ത്രണത്തിന്റെ അഭാവത്തിന്റെ യഥാർത്ഥ ഉദാഹരണം പോലെ മറ്റൊന്നും ഒരു നിയന്ത്രണത്തെയും സ്ഫടികമാക്കുന്നില്ല.
മറ്റ് ഘർഷണങ്ങളും ഇതേ ആകൃതി പിന്തുടരുന്നു:
- വ്യക്തമായ അനുമതികൾ: സ്കോപ്പ്ഡ് പെർമിഷനുകൾ സംഭാവകർ മനസ്സിലാക്കുന്നതുവരെ വർക്ക്ഫ്ലോകളിലെ ബ്ലോക്കുകൾ CI പരാജയങ്ങൾക്ക് കാരണമാകുന്നു. ഇതൊരു പെർമിഷൻ പ്രശ്നമല്ല, മറിച്ച് ഒരു മാനസിക-മോഡൽ പ്രശ്നമാണ്.
- മാറ്റമില്ലാത്തത് ടാഗ് ചെയ്യുക: വർഷങ്ങളായി നിശബ്ദമായി റീടാഗ് ചെയ്തുകൊണ്ടിരിക്കുന്ന റിലീസ് ടൂളിംഗിനെ ഇത് തകർക്കുന്നു.
- സൈൻ ഇൻ ചെയ്തു commits: വർക്ക്സ്റ്റേഷനുകളിൽ GPG അല്ലെങ്കിൽ SSH കീകൾ ശരിയായി സജ്ജീകരിക്കുന്നതുവരെ ഓൺബോർഡിംഗ് ഘർഷണം സൃഷ്ടിക്കുക. പ്രധാന റിപ്പോസിറ്ററികളിൽ മാത്രമല്ല, എല്ലാ റിപ്പോസിറ്ററികളിലും സംഭാവകരിലും SPVS ഇത് നിർബന്ധമാക്കുന്നു.
- ക്ലാസിക് വ്യക്തിഗത ആക്സസ് ടോക്കണുകൾ മാറ്റിസ്ഥാപിക്കുന്നു: നിരവധി റിപ്പോസിറ്ററികളിലും വർക്ക്ഫ്ലോ ഫയലുകളിലും മിക്കവാറും എല്ലാ ടീമുകളെയും സ്പർശിക്കുന്നു.
പ്രവർത്തിക്കുന്ന പാറ്റേൺ: ഓരോ നിയന്ത്രണവും അത് തടയുന്ന ഒരു പ്രത്യേക ഭീഷണി ഉപയോഗിച്ച് അവതരിപ്പിക്കുക, ഒന്നോ രണ്ടോ റിപ്പോസിറ്ററികളിൽ പൈലറ്റ് ചെയ്യുക, അനുവദിച്ച പട്ടികയിലുള്ള ഒഴിവാക്കലുകൾ നടപ്പിലാക്കുക, ഒരു നിശ്ചിത സമയപരിധിക്കുള്ളിൽ ഒഴിവാക്കലുകൾ പിൻവലിക്കുക. ഏറ്റവും കഠിനമായി പിന്നോട്ട് പോകുന്ന എഞ്ചിനീയർമാർ, യുക്തി കാണുമ്പോൾ, ഏറ്റവും ശക്തരായ വക്താക്കളായി മാറുന്നു.
ഒരു ആഴമേറിയ കാര്യം: എൻഡ്-ടു-എൻഡ് തത്വം ഇവിടെയാണ് കടിച്ചുകീറുന്നത്. നിങ്ങൾക്ക് തിരഞ്ഞെടുക്കാനും തിരഞ്ഞെടുക്കാനും കഴിയില്ല. റിലീസ് ഗവേണൻസ് അയഞ്ഞ നിലയിൽ വിടുമ്പോൾ ബിൽഡ് ഘട്ടം കഠിനമാക്കുന്നത് തെറ്റായ ആത്മവിശ്വാസം നൽകുന്നു, SPVS രചയിതാക്കൾ വിളിക്കുന്ന പരാജയ മോഡ് ഇതാണ്. ഒരു പ്രത്യേക നിയന്ത്രണം ഒറ്റപ്പെട്ട നിലയിൽ അനുപാതമില്ലെന്ന് തോന്നുമ്പോഴും, ഓരോ ഘട്ടവും ഒരുമിച്ച് മുന്നേറേണ്ടതുണ്ട്.
ചെലവ്: ഘട്ടം 1-നുള്ള ഏകദേശം ഒരു മാസത്തെ എഞ്ചിനീയറിംഗ് സമയം, ഒരു ചെറിയ സ്ഥാപനത്തിനായുള്ള L2 പാലിക്കലിൽ ശ്രദ്ധ കേന്ദ്രീകരിച്ച്, DevOps, സെക്യൂരിറ്റി, എഞ്ചിനീയറിംഗ് അവലോകകർ എന്നിവരിൽ വ്യാപിച്ചുകിടക്കുന്നു. നിക്ഷേപം എളുപ്പത്തിൽ തിരിച്ചടയ്ക്കുന്നു. തടയപ്പെട്ട ഒരു വിതരണ ശൃംഖല സംഭവം അതിനെ പല മടങ്ങ് ഉൾക്കൊള്ളുന്നു. വലിയ സ്ഥാപനങ്ങൾ ആനുപാതികമായി കൂടുതൽ ബജറ്റ് ചെയ്യണം, എന്നാൽ ഘട്ടം ഘട്ടമായുള്ള L1 മുതൽ L2 മുതൽ L3 വരെയുള്ള ഘടന അർത്ഥമാക്കുന്നത് പ്രോഗ്രാം പൂർത്തിയാകുന്നതിന് മുമ്പ് മൂല്യം വിതരണം ചെയ്യപ്പെടുന്നു എന്നാണ്.
അടുത്തത് എന്താണ്
AI-യുമായി ബന്ധപ്പെട്ട നിയന്ത്രണങ്ങളുമായി SPVS v1.5 ചക്രവാളത്തിലാണ്: AI-അസിസ്റ്റഡ് കോഡിന്റെ ഉത്ഭവം, guardrails എൽഎൽഎമ്മുകൾ എന്ന് വിളിക്കുന്ന സിഐ വർക്ക്ഫ്ലോകൾക്കായി, എഐ-ജനറേറ്റഡ് ട്രെയിലുകൾ അവലോകനം ചെയ്യുക pull requests, സ്ലോപ്സ്ക്വാട്ടിംഗ് പോലുള്ള ഉയർന്നുവരുന്ന ഭീഷണികൾക്കെതിരായ പ്രതിരോധം, ആക്രമണകാരികൾ AI കോഡിംഗ് അസിസ്റ്റന്റുമാർ ഭ്രമാത്മകമാക്കുന്ന പാക്കേജ് നാമങ്ങൾ രജിസ്റ്റർ ചെയ്യുന്നു, കൂടാതെ CrowdStrike വൈൽഡിൽ റിപ്പോർട്ട് ചെയ്യുന്ന പ്രവർത്തനപരമായ AI-ജനറേറ്റഡ് മാൽവെയറും. AI-അസിസ്റ്റഡ് എന്ന് ഇതിനകം ടാഗ് ചെയ്തിട്ടുള്ള ഓർഗനൈസേഷനുകൾ commitഎസ്, പിആർ എന്നിവർ അവരുടെ ആന്തരിക വികസന മാർഗ്ഗനിർദ്ദേശങ്ങളിൽ ഈ പൊരുത്തപ്പെടുത്തലിനെ ഒരു പുതിയ പ്രവർത്തന പരിപാടി എന്നതിലുപരി വർദ്ധനവുള്ളതായി കണ്ടെത്തും.
റൺടൈം മോണിറ്ററിംഗും ക്രെഡൻഷ്യൽ ലൈഫ് സൈക്കിൾ ആവശ്യകതകളും പതിപ്പ് 2.0 കൂടുതൽ ആഴത്തിലാക്കുമെന്ന് പ്രതീക്ഷിക്കുന്നു. ന്യായമായ ഒരു ഓർഗനൈസേഷണൽ റോഡ്മാപ്പ്: 2026 ലെ രണ്ടാം പാദത്തിന്റെ അവസാനത്തോടെ ശേഷിക്കുന്ന L3 വിടവുകൾ അടയ്ക്കുക, ഇതിൽ ഉൾപ്പെടുന്നു SLSA provenance സംയോജിപ്പിച്ചു standard CI/CD, പ്രൊഡക്ഷൻ വിന്യാസങ്ങൾക്കുള്ള മാനുവൽ ഗേറ്റുകൾ, കേന്ദ്രീകൃത ഐഡന്റിറ്റി ദാതാവ്, തുടർന്ന് മെയിന്റനൻസ് മോഡിലേക്ക് മാറുന്നു. ഓരോ പുതിയ റിപ്പോസിറ്ററിയും കംപ്ലയിന്റ് ചെയ്യാൻ തുടങ്ങുന്നു, കൂടാതെ ഓരോ ത്രൈമാസ ഓഡിറ്റും നേരത്തെ തന്നെ പിടിക്കപ്പെടുന്നു.
ഫർഷാദ് അബാസി, കാമറൂൺ വാൾട്ടേഴ്സ്, OWASP SPVS വർക്കിംഗ് ഗ്രൂപ്പ് എന്നിവരോട് ആത്മാർത്ഥമായ നന്ദി. സപ്ലൈ-ചെയിൻ സുരക്ഷ പ്രതിപ്രവർത്തനപരമായിട്ടല്ല, വ്യവസ്ഥാപിതമായി ചെയ്യാൻ ആഗ്രഹിക്കുന്ന എല്ലാ സ്ഥാപനങ്ങൾക്കും ഇതുപോലുള്ള പദ്ധതികൾ ബാർ കുറയ്ക്കുന്നു.
കീ ടേക്ക്അവേസ്

നമ്മുടെ പ്രത്യേക സന്ദർഭത്തിനപ്പുറത്തേക്ക് വിവർത്തനം ചെയ്യുന്ന ചില കാര്യങ്ങൾ:
- ഇത് പരീക്ഷിക്കാൻ: SPVS ആവശ്യകതകളുടെ CSV ഡൗൺലോഡ് ചെയ്ത് നിങ്ങളുടെ നിലവിലെ നിയന്ത്രണങ്ങൾ ഒരു സ്പ്രെഡ്ഷീറ്റിൽ മാപ്പ് ചെയ്യുക. ഇത് അനുയോജ്യമാണോ എന്ന് ഒരു ദിവസത്തിനുള്ളിൽ നിങ്ങൾക്ക് മനസ്സിലാകും.
- ഒരു ലക്ഷ്യ ലെവൽ തിരഞ്ഞെടുത്ത് അടുത്തതിലേക്ക് എത്തുന്നതിനുമുമ്പ് അത് അയയ്ക്കുക. L1 മുതൽ L2 മുതൽ L3 വരെ എന്നത് ഒരു സവിശേഷതയാണ്, ഒരു പരിമിതിയല്ല.
- ദി pipeline ലക്ഷ്യം ആണ്. ആപ്ലിക്കേഷൻ കേന്ദ്രീകൃത നിയന്ത്രണങ്ങൾ ആവശ്യമാണ്, പക്ഷേ പര്യാപ്തമല്ല; കൈകാര്യം ചെയ്യുക pipeline ഒരു ഫസ്റ്റ് ക്ലാസ് ആക്രമണ പ്രതലമായി.
- മുഴുവൻ പരിശോധിക്കുക pipeline, ഒരു കഷണം അല്ല. ഡിപൻഡൻസി സ്കാനിംഗിലെ ശക്തി ദുർബലമായ റിലീസ് ഗവേണൻസ് അല്ലെങ്കിൽ നിരീക്ഷിക്കപ്പെടാത്ത ബിൽഡ് പരിതസ്ഥിതികൾക്ക് പരിഹാരമാകുന്നില്ല.
- സ്പ്രെഡ്ഷീറ്റുകൾ സ്നാപ്പ്ഷോട്ടുകളാണ്; ഡ്രിഫ്റ്റ് തുടർച്ചയാണ്. ഓഡിറ്റുകൾക്കിടയിലുള്ള വ്യത്യാസം കണ്ടെത്തുന്നതിന്, ഒരു ചെറിയ ഇൻ-ഹൗസ് ഉപകരണം പോലും, ഓട്ടോമേഷൻ നിർമ്മിക്കുക.
- സാങ്കേതിക ജോലിയേക്കാൾ ബുദ്ധിമുട്ടാണ് സംഘടനാ ജോലി. സംഭാഷണത്തിനും പരീക്ഷണത്തിന് മുമ്പുള്ള പ്രവർത്തനത്തിനും ബജറ്റ് സമയം കണ്ടെത്തുക, ഓരോ നിയന്ത്രണവും തടയുന്ന നിർദ്ദിഷ്ട ഭീഷണി വിശദീകരിക്കുക.
കൂടുതൽ വായിക്കാൻ
- ഓവാസ്പ്: സുരക്ഷിത Pipeline പരിശോധന Standard (എസ്പിവിഎസ്) v1.0. OWASP പ്രോജക്റ്റ് പേജ്.
- ഫർഷാദ് അബാസി: എന്തുകൊണ്ടാണ് ഞങ്ങൾ OWASP SPVS സൃഷ്ടിച്ചത്. OWASP SPVS ലേഖനങ്ങൾ.
- ഫർഷാദ് അബാസി: Pipeline ആക്രമണങ്ങൾ കൂടുതൽ വഷളാകുന്നു. എങ്ങനെ തയ്യാറെടുക്കാമെന്ന് ഇതാ.. OWASP SPVS ലേഖനങ്ങൾ.
- ഫർഷാദ് അബാസി: OWASP SPVS vs. മറ്റ് സപ്ലൈ ചെയിൻ ഫ്രെയിംവർക്കുകൾ. OWASP SPVS ലേഖനങ്ങൾ.
- ഓവാസ്പ്: ടോപ്പ് 10 CI/CD സുരക്ഷാ അപകടങ്ങൾ. OWASP പ്രോജക്റ്റ് പേജ്.
- എസ്എൽഎസ്എ: സോഫ്റ്റ്വെയർ ആർട്ടിഫാക്റ്റുകൾക്കുള്ള സപ്ലൈ-ചെയിൻ ലെവലുകൾ. എസ്എൽഎസ്എ.ഡെവ്.
- OpenSSF: സ്കോർകാർഡ്. സെക്യൂരിറ്റിസ്കോർകാർഡുകൾ.ഡെവ്.
എഴുത്തുകാരനെ കുറിച്ച്
സഹസ്ഥാപകനും സിഎസ്ആർഒയും
ലൂയിസ് റോഡ്രിഗസ് സൈജെനി സെക്യൂരിറ്റിയുടെ സഹസ്ഥാപകനും ചീഫ് സെക്യൂരിറ്റി റിസർച്ച് ഓഫീസറുമാണ്. 20 വർഷത്തിലധികം ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റിയിൽ പരിചയമുള്ള അദ്ദേഹം, യഥാർത്ഥ ഡെലിവറി റിസ്ക് കുറയ്ക്കാൻ ടീമുകളെ സഹായിക്കുന്ന ആപ്പ്സെക് പരിരക്ഷയിലും വിപുലമായ കോഡ്-അനാലിസിസ് കഴിവുകളിലും ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.




