OWASP SPVS

OWASP SPVS: ਸਾਫਟਵੇਅਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਤੋਂ ਸਬਕ Pipeline

ਸਾਲਾਂ ਤੋਂ, ਹਮਲਾਵਰ ਇੱਕ-ਇੱਕ ਕਰਕੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਪਿੱਛਾ ਕਰਦੇ ਰਹੇ। ਉਨ੍ਹਾਂ ਨੇ ਰਣਨੀਤੀਆਂ ਬਦਲ ਦਿੱਤੀਆਂ ਹਨ: ਜਦੋਂ ਤੁਸੀਂ ਸਮਝੌਤਾ ਕਰ ਸਕਦੇ ਹੋ ਤਾਂ ਇੱਕ ਐਪ ਨਾਲ ਸਮਝੌਤਾ ਕਿਉਂ? pipeline ਕੀ ਇਹ ਬਹੁਤ ਸਾਰੇ ਬਣਾਉਂਦਾ ਹੈ? ਜ਼ਾਇਜੇਨੀ ਦਾ ਮਾਲਵੇਅਰ ਸ਼ੁਰੂਆਤੀ ਚੇਤਾਵਨੀ (MEW) ਖੋਜਿਆ 2025 ਵਿੱਚ 4,452 ਖਤਰਨਾਕ ਪੈਕੇਜ ਅਤੇ 2026 ਵਿੱਚ ਹੁਣ ਤੱਕ 1,281 ਹੋਰ. ਪਿਛਲੇ ਕੁਝ ਸਾਲਾਂ ਤੋਂ ਵਾਪਰੀ ਹਰੇਕ ਹਾਈ-ਪ੍ਰੋਫਾਈਲ ਘਟਨਾ ਸਾਫਟਵੇਅਰ ਡਿਲੀਵਰੀ ਚੇਨ ਵਿੱਚ ਇੱਕ ਵੱਖਰੀ ਕੜੀ 'ਤੇ ਲੱਗੀ ਹੈ:

  • ਸੋਲਰਵਿੰਡਸ (2020): ਬਿਲਡ-ਵਾਤਾਵਰਣ ਸਮਝੌਤਾ; 18,000 ਗਾਹਕਾਂ ਨੂੰ ਬੈਕਡੋਰਡ ਅਪਡੇਟਸ ਭੇਜੇ ਗਏ।
  • ਕੋਡੇਕੋਵ (2021): ਇੱਕ ਗਲਤ ਸੰਰਚਿਤ ਡੌਕਰ ਚਿੱਤਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ bash ਅੱਪਲੋਡਰ ਸਕ੍ਰਿਪਟ ਨੂੰ ਸੋਧਣ ਦਿੰਦਾ ਹੈ, 23,000 ਤੋਂ ਵੱਧ ਗਾਹਕਾਂ ਤੋਂ CI ਭੇਦ ਖੋਲ੍ਹਦਾ ਹੈ।
  • ਸਰਕਲਸੀਆਈ (2023): ਇੱਕ ਇੰਜੀਨੀਅਰ ਦੇ ਲੈਪਟਾਪ 'ਤੇ ਸੈਸ਼ਨ-ਕੂਕੀ ਚੋਰੀ ਨੂੰ ਉਤਪਾਦਨ ਪਹੁੰਚ ਟੋਕਨਾਂ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਗਿਆ; ਹਰੇਕ ਗਾਹਕ ਨੂੰ ਹਰ ਗੁਪਤ ਨੂੰ ਘੁੰਮਾਉਣ ਲਈ ਕਿਹਾ ਗਿਆ ਸੀ।
  • XZ Utils ਬੈਕਡੋਰ (2024) :ਇੱਕ ਬਹੁ-ਸਾਲਾ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਮੁਹਿੰਮ ਜੋ ਲਗਭਗ ਹਰ Linux ਵੰਡ ਤੱਕ ਪਹੁੰਚ ਗਈ।
  • ਟੀਜੇ-ਐਕਸ਼ਨ (2025) — ਇੱਕ GitHub ਐਕਸ਼ਨ ਸਪਲਾਈ-ਚੇਨ ਕੈਸਕੇਡ ਜਿਸਨੇ 23,000+ ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਇੱਕ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦਿੱਤਾ।
  • 'ਤੇ ਹਮਲੇ ਐਕਵਾ ਟ੍ਰਾਈਵੀ ਅਤੇ ਚੈੱਕਮਾਰਕਸ (2026) — TeamPCP ਮੁਹਿੰਮ ਨੇ ਦੋ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸੁਰੱਖਿਆ ਸਕੈਨਰਾਂ ਨੂੰ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ, ਫਿਰ ਚੋਰੀ ਕੀਤੇ ਗਏ ਦੀ ਵਰਤੋਂ ਕੀਤੀ CI/CD npm, OpenVSX, ਅਤੇ PyPI ਵਿੱਚ ਡਾਊਨਸਟ੍ਰੀਮ ਨੂੰ ਕੈਸਕੇਡ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ।

ਹਰੇਕ ਹਮਲੇ ਨੇ ਇੱਕ ਵੱਖਰੇ ਹਿੱਸੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ pipeline: ਬਿਲਡ ਵਾਤਾਵਰਣ, CI ਟੂਲਿੰਗ, ਨਿਰਭਰਤਾਵਾਂ, ਡਿਵੈਲਪਰ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਰੱਖ-ਰਖਾਅ ਕਰਨ ਵਾਲਾ ਟਰੱਸਟ, ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਦੇ ਪਰਿਵਰਤਨਸ਼ੀਲ ਹਵਾਲੇ। ਜ਼ਿਆਦਾਤਰ ਸੰਗਠਨ ਪੁਆਇੰਟ ਕੰਟਰੋਲ, CI ਵਿੱਚ ਇੱਕ ਸਕੈਨਰ, IdP 'ਤੇ 2FA, ਸ਼ਾਖਾ ਸੁਰੱਖਿਆ 'ਤੇ ਜਵਾਬ ਦਿੰਦੇ ਹਨ। main. ਆਮ ਤੌਰ 'ਤੇ ਜੋ ਗੁੰਮ ਹੁੰਦਾ ਹੈ ਉਹ ਪੁੱਛਣ ਦਾ ਇੱਕ ਤਰੀਕਾ ਹੈ ਕੀ ਅਸੀਂ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਕਵਰ ਕੀਤੇ ਜਾਂਦੇ ਹਾਂ? ਇਸ ਨਾਲੋਂ ਕੀ ਸਾਨੂੰ ਆਖਰੀ ਘਟਨਾ ਤੋਂ ਬਾਅਦ X ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ ਯਾਦ ਸੀ?

ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਵਿਕਰੇਤਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਚੌਕਸ ਰਹਿੰਦੇ ਹਨ, ਇਸ ਲਈ ਸਮਝੌਤਾ ਕਰਨਾ ਹਰੇਕ ਗਾਹਕ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ ਜੋ ਇਸਦੀਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ 'ਤੇ ਭਰੋਸਾ ਕਰਦਾ ਹੈ। ਪ੍ਰਤੀਕਿਰਿਆਸ਼ੀਲ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਇੱਕ ਯੋਜਨਾਬੱਧ ਸਥਿਤੀ ਵੱਲ ਜਾਣ ਦਾ ਦਬਾਅ ਸਿਧਾਂਤਕ ਨਹੀਂ ਹੈ। ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਹੈcisOWASP SPVS ਨੂੰ ਅਪਣਾਉਣ ਲਈ ਕਿਹੜੀ ਗੱਲ ਨੇ ਪ੍ਰੇਰਿਤ ਕੀਤਾ? standard ਇੱਕ ਪ੍ਰਮੁੱਖ ਤਰਜੀਹੀ ਪ੍ਰੋਜੈਕਟ ਵਜੋਂ।

SPVS ਕੀ ਹੈ, ਅਤੇ ਇਸਦੀ ਬਣਤਰ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦੀ ਹੈ

ਮੂਲ ਕਹਾਣੀ ਸਰਲ ਹੈ। LASCON 2023 ਵਿੱਚ, ਫਰਸ਼ਾਦ ਅਬਾਸੀ ਅਤੇ ਕੈਮਰਨ ਵਾਲਟਰਸ ਇੱਕ ਦੂਜੇ ਨੂੰ ਇੱਕੋ ਸਵਾਲ ਪੁੱਛਦੇ ਰਹੇ: ASVS ਕਿੱਥੇ ਹੈ? pipelines? OWASP ASVS ਨੇ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਨੂੰ ਇੱਕ ਵਿਆਪਕ, ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਸੀ standard. ਦੇ ਬਰਾਬਰ ਕੁਝ ਵੀ ਮੌਜੂਦ ਨਹੀਂ ਸੀ CI/CD.

OWASP ਟੌਪ 10 ਸੀ CI/CD ਜੋਖਮ, ਜੋ ਜਾਗਰੂਕਤਾ-ਅਧਾਰਿਤ ਸਨ, ਜਾਂਚਯੋਗ ਨਹੀਂ ਸਨ; SLSA, ਜੋ ਸਿਰਫ਼ ਨਿਰਮਾਣ ਉਤਪਤੀ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸੀ; S2C2F, ਜੋ ਸਿਰਫ਼ ਨਿਰਭਰਤਾ ਖਪਤ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸੀ; ਅਤੇ OpenSSF ਸਕੋਰਕਾਰਡ, ਜਿਸ ਵਿੱਚ ਖਾਸ ਰਿਪੋਜ਼ਟਰੀ ਜਾਂਚਾਂ ਸ਼ਾਮਲ ਸਨ। ਹਰੇਕ ਵਿੱਚ ਇੱਕ ਟੁਕੜਾ ਸ਼ਾਮਲ ਸੀ। ਕਿਸੇ ਨੇ ਵੀ ਪੂਰੇ ਨੂੰ ਸ਼ਾਮਲ ਨਹੀਂ ਕੀਤਾ।

ਢਾਂਚਾ ਜਾਂ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਾਇਮਰੀ ਸਕੋਪ
OWASP ਚੋਟੀ ਦੇ 10 CI/CD ਖ਼ਤਰੇ ਜਾਗਰੂਕਤਾ-ਮੁਖੀ CI/CD ਜੋਖਮ ਮਾਰਗਦਰਸ਼ਨ, ਜਾਂਚਯੋਗ ਤਸਦੀਕ ਨਹੀਂ standard.
ਐਸਐਲਐਸਏ ਉਤਪਤੀ ਅਤੇ ਕਲਾਤਮਕ ਇਕਸਾਰਤਾ ਬਣਾਓ।
S2C2F ਸੁਰੱਖਿਅਤ ਨਿਰਭਰਤਾ ਖਪਤ।
OpenSSF ਸਕੋਰ ਕਾਰਡ ਖਾਸ ਰਿਪੋਜ਼ਟਰੀ-ਪੱਧਰ ਦੀ ਸੁਰੱਖਿਆ ਜਾਂਚ।

ਪਾੜਾ: ਹਰੇਕ ਢਾਂਚੇ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਸ਼ਾਮਲ ਸੀ software supply chain security, ਪਰ ਕਿਸੇ ਨੇ ਵੀ ਸਿਰੇ ਤੋਂ ਸਿਰੇ ਤੱਕ, ਤਸਦੀਕਯੋਗ ਨਹੀਂ ਦਿੱਤਾ standard ਪੂਰੇ ਲਈ CI/CD pipeline.

ਉਹ ਗੱਲਬਾਤ ਦੋ ਸਾਲਾਂ ਦੇ ਕੰਮ ਵਿੱਚ ਬਦਲ ਗਈ, ਅਤੇ ਅਕਤੂਬਰ 2025 ਵਿੱਚ SPVS ਵਰਕਿੰਗ ਗਰੁੱਪ ਨੇ v1.0 ਜਾਰੀ ਕੀਤਾ: ਜੀਵਨ ਚੱਕਰ ਵਿੱਚ 127 ਜ਼ਰੂਰਤਾਂ, ਯੋਜਨਾ ਬਣਾਓ, ਵਿਕਾਸ ਕਰੋ, ਏਕੀਕ੍ਰਿਤ ਕਰੋ, ਜਾਰੀ ਕਰੋ, ਸੰਚਾਲਿਤ ਕਰੋ, ਤਿੰਨ ਪਰਿਪੱਕਤਾ ਪੱਧਰਾਂ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ: L1 ਫਾਊਂਡੇਸ਼ਨਲ, L2 Standard, ਅਤੇ L3 ਐਡਵਾਂਸਡ। ਹਰੇਕ ਲੋੜ ਨੂੰ NIST SP 800-53, OWASP ਨਾਲ ਮੈਪ ਕੀਤਾ ਗਿਆ ਹੈ। CI/CD ਸਿਖਰਲੇ 10, ਅਤੇ CWE।

OWASP SPVS

ਬਣਤਰ ਹੀ ਮੁੱਖ ਗੱਲ ਹੈ। SPVS ਲੇਖਕਾਂ ਦੇ ਆਪਣੇ ਸ਼ਬਦਾਂ ਵਿੱਚ:

"ਆਪਣੀ ਪੂਰੀ ਪੁਸ਼ਟੀ ਕਰੋ pipeline, ਸਿਰਫ਼ ਇੱਕ ਟੁਕੜਾ ਨਹੀਂ। ਇਹ ਉਹ ਥਾਂ ਹੈ ਜਿੱਥੇ ਜ਼ਿਆਦਾਤਰ ਸੰਗਠਨ ਸੰਘਰਸ਼ ਕਰਦੇ ਹਨ। ਉਹ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਨ ਪਰ ਰਿਲੀਜ਼ ਗਵਰਨੈਂਸ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦੇ ਹਨ। ਉਹ ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ 'ਤੇ ਦਸਤਖਤ ਕਰਦੇ ਹਨ ਪਰ ਆਪਣੇ ਮਾਡਲ ਨੂੰ ਧਮਕੀ ਨਹੀਂ ਦਿੰਦੇ ਹਨ। pipeline ਆਰਕੀਟੈਕਚਰ। ਉਹ ਉਤਪਾਦਨ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦੇ ਹਨ ਪਰ ਆਪਣੇ ਨਿਰਮਾਣ ਵਾਤਾਵਰਣ ਦੀ ਨਹੀਂ।

ਇਹ ਉਹ ਥਾਂ ਹੈ ਜਿੱਥੇ ਜ਼ਿਆਦਾਤਰ ਸੰਗਠਨ ਸੰਘਰਸ਼ ਕਰਦੇ ਹਨ। ਉਹ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਨ ਪਰ ਰਿਲੀਜ਼ ਗਵਰਨੈਂਸ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦੇ ਹਨ। ਉਹ ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ 'ਤੇ ਦਸਤਖਤ ਕਰਦੇ ਹਨ ਪਰ ਆਪਣੇ ਮਾਡਲ ਨੂੰ ਧਮਕੀ ਨਹੀਂ ਦਿੰਦੇ ਹਨ। pipeline ਆਰਕੀਟੈਕਚਰ। ਉਹ ਉਤਪਾਦਨ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦੇ ਹਨ ਪਰ ਆਪਣੇ ਨਿਰਮਾਣ ਵਾਤਾਵਰਣ ਦੀ ਨਹੀਂ।

ਇਹ ਉਹ ਥੀਸਿਸ ਹੈ ਜੋ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਜਾਇਜ਼ ਠਹਿਰਾਉਂਦਾ ਹੈ। ਇੱਕ ਪੜਾਅ ਵਿੱਚ ਤਾਕਤ ਦੂਜੇ ਪੜਾਅ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਭਰਪਾਈ ਨਹੀਂ ਕਰਦੀ। ਹਮਲਾਵਰਾਂ ਨੂੰ ਤੋੜਨ ਲਈ ਸਿਰਫ਼ ਇੱਕ ਕੜੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਇੱਕ ਜੀਵਨ ਚੱਕਰ standard ਤੁਹਾਨੂੰ ਇਹਨਾਂ ਸਾਰਿਆਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰਦਾ ਹੈ, ਅਤੇ L1 ਤੋਂ L2 ਤੋਂ L3 ਤੱਕ ਦੀ ਤਰੱਕੀ ਤੁਹਾਨੂੰ ਸਮੁੰਦਰ ਨੂੰ ਉਬਾਲਣ ਤੋਂ ਬਿਨਾਂ ਅਜਿਹਾ ਕਰਨ ਦਿੰਦੀ ਹੈ। SPVS SLSA, S2C2F, ਸਕੋਰਕਾਰਡ, ਜਾਂ ਸਿਗਸਟੋਰ ਦੀ ਥਾਂ ਨਹੀਂ ਲੈਂਦਾ; ਇਹ ਤੁਹਾਨੂੰ ਸਕੈਫੋਲਡਿੰਗ ਦਿੰਦਾ ਹੈ ਜੋ ਤੁਹਾਨੂੰ ਦੱਸਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਵਿੱਚੋਂ ਹਰ ਇੱਕ ਕਿੱਥੇ ਫਿੱਟ ਹੁੰਦਾ ਹੈ।

ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣਾ Standard ਤੁਹਾਡੀ ਸੰਸਥਾ ਨੂੰ

ਕੁਦਰਤੀ ਪਹਿਲਾ ਕਦਮ ਹਰੇਕ ਜ਼ਰੂਰਤ ਦੇ ਵਿਰੁੱਧ ਤੁਹਾਡੇ ਸੰਗਠਨ ਅਤੇ ਸਾਫਟਵੇਅਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸਿੱਧਾ ਆਡਿਟ ਹੈ। ਇੱਕ ਗੂਗਲ ਸ਼ੀਟ ਜੋ ਅਧਿਕਾਰੀ ਤੋਂ ਸੀਡ ਕੀਤੀ ਗਈ ਹੈ SPVS ਲੋੜਾਂ CSV ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਦੇ ਤੌਰ 'ਤੇ ਵਧੀਆ ਕੰਮ ਕਰਦਾ ਹੈ। ਤਿੰਨ ਦ੍ਰਿਸ਼ ਲਾਭਦਾਇਕ ਹਨ: ਪ੍ਰਤੀ ਨਿਯੰਤਰਣ ਸਥਿਤੀ ਅਤੇ ਮਾਲਕ ਦੇ ਨਾਲ ਇੱਕ ਜ਼ਰੂਰਤ ਮੈਟ੍ਰਿਕਸ, ਇੱਕ ਪ੍ਰਤੀ-ਰਿਪੋਜ਼ਟਰੀ ਹੀਟਮੈਪ, ਅਤੇ ਇੱਕ dashboard ਪੜਾਅ ਅਤੇ ਪੱਧਰ ਅਨੁਸਾਰ ਪ੍ਰਗਤੀ। ਆਉਟਪੁੱਟ ਕੁਦਰਤੀ ਤੌਰ 'ਤੇ ਇੱਕ ਤਕਨੀਕੀ ਰੋਡਮੈਪ ਵਿੱਚ ਫੀਡ ਹੁੰਦਾ ਹੈ, ਇੱਕ ਜੀਵਤ ਦਸਤਾਵੇਜ਼ ਜੋ ਯੋਜਨਾ ਤੋਂ ਲੈ ਕੇ ਸੰਚਾਲਨ ਤੱਕ ਹਰ ਪੜਾਅ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ।

ਜ਼ਿਆਦਾਤਰ ਪਰਿਪੱਕ ਇੰਜੀਨੀਅਰਿੰਗ ਸੰਸਥਾਵਾਂ ਜਦੋਂ ਇਹ ਸ਼ੁਰੂਆਤੀ ਮੈਪਿੰਗ ਕਰਦੀਆਂ ਹਨ ਤਾਂ ਉਹ ਆਪਣੇ ਆਪ ਨੂੰ ਪਹਿਲਾਂ ਹੀ L2 ਦੇ ਆਸਪਾਸ ਪਾ ਲੈਣਗੀਆਂ। ਇਹ ਅਸਲ ਵਿੱਚ ਇੱਕ ਚੰਗੀ ਸਥਿਤੀ ਹੈ: ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਪਹਿਲਾ ਪੜਾਅ ਸ਼ੁਰੂ ਤੋਂ ਨੀਂਹ ਬਣਾਉਣ ਦੀ ਬਜਾਏ ਖਾਸ ਪਾੜੇ ਨੂੰ ਬੰਦ ਕਰਨ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰ ਸਕਦਾ ਹੈ।

ਇੱਕ ਸਪ੍ਰੈਡਸ਼ੀਟ, ਹਾਲਾਂਕਿ, ਇੱਕ ਸਨੈਪਸ਼ਾਟ ਹੈ, ਅਤੇ SPVS ਹੋਰ ਮੰਗਦਾ ਹੈ। V1.1.7 VCS ਪ੍ਰਸ਼ਾਸਕਾਂ ਦੇ ਤਿਮਾਹੀ ਆਡਿਟ ਨੂੰ ਲਾਜ਼ਮੀ ਬਣਾਉਂਦਾ ਹੈ; V5.1.1 ਤੋਂ V5.1.3 ਤੱਕ ਨਿਯਮਤ ਉਪਭੋਗਤਾ ਆਡਿਟ, ਐਕਸੈਸ-ਲੌਗ ਸਮੀਖਿਆ, ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ-ਪਹੁੰਚ ਨਿਗਰਾਨੀ ਸ਼ਾਮਲ ਕਰੋ; ਕਈ V2.1.x, V3.3.x, ਅਤੇ V4.2.x ਨਿਯੰਤਰਣਾਂ ਲਈ ਚੱਲ ਰਹੇ ਵਰਕਫਲੋ-YAML ਸਫਾਈ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਸੰਗਠਨ ਵਿੱਚ ਹੱਥ ਨਾਲ ਚਲਾਓ, ਇਹ ਹਰ ਤਿਮਾਹੀ ਵਿੱਚ ਕਲਿੱਕ-ਟਰੈਕਿੰਗ ਦਾ ਅੱਧਾ ਦਿਨ ਹੈ ਜਿਸ ਵਿੱਚ ਚੁੱਪ-ਚਾਪ ਭੁੱਲਾਂ ਦਾ ਅਸਲ ਜੋਖਮ ਹੁੰਦਾ ਹੈ। ਇਹ ਉਸ ਕਿਸਮ ਦਾ ਕੰਮ ਹੈ ਜੋ ਜਾਂ ਤਾਂ ਸਵੈਚਾਲਿਤ ਹੋ ਜਾਂਦਾ ਹੈ ਜਾਂ ਕੁਝ ਬੁਰਾ ਵਾਪਰਨ ਤੋਂ ਬਾਅਦ ਹੀ ਸਮੀਖਿਆ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਕੁਝ SPVS ਕੰਟਰੋਲ ਇੱਕ-ਵਾਰੀ ਚੈੱਕਲਿਸਟ ਆਈਟਮਾਂ ਨਹੀਂ ਹਨ। ਉਹਨਾਂ ਨੂੰ ਰਿਪੋਜ਼ਟਰੀਆਂ, ਉਪਭੋਗਤਾਵਾਂ, ਵਰਕਫਲੋ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਹੁੰਚ ਵਿੱਚ ਆਵਰਤੀ ਸਮੀਖਿਆ, ਆਡਿਟ ਸਬੂਤ, ਅਤੇ ਡ੍ਰਿਫਟ ਖੋਜ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਐਸਪੀਵੀਐਸ ਖੇਤਰ ਲੋੜ ਦੀ ਕਿਸਮ
V1.1.7 VCS ਪ੍ਰਸ਼ਾਸਕਾਂ ਦਾ ਤਿਮਾਹੀ ਆਡਿਟ।
V5.1.1–V5.1.3 ਨਿਯਮਤ ਉਪਭੋਗਤਾ ਆਡਿਟ, ਐਕਸੈਸ-ਲੌਗ ਸਮੀਖਿਆ, ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਐਕਸੈਸ ਨਿਗਰਾਨੀ।
V2.1.x, V3.3.x, V4.2.x ਚੱਲ ਰਿਹਾ ਵਰਕਫਲੋ YAML ਸਫਾਈ।

ਇਸਦਾ ਜਵਾਬ ਟੂਲਿੰਗ ਬਣਾਉਣਾ ਜਾਂ ਅਪਣਾਉਣਾ ਹੈ ਜੋ ਸੰਗਠਨ-ਮਾਲਕ ਪਛਾਣ ਦੇ ਅਧੀਨ ਚੱਲਦਾ ਹੈ ਅਤੇ ਇੱਕ ਢਾਂਚਾਗਤ ਤਿਮਾਹੀ ਬੰਡਲ ਪੈਦਾ ਕਰਦਾ ਹੈ: ਐਡਮਿਨ ਰੋਸਟਰ, ਸ਼ਾਖਾ ਸੁਰੱਖਿਆ, CODEOWNERS ਕਵਰੇਜ, ਵਰਕਫਲੋ YAML ਸਫਾਈ ਪਿੰਨ ਕੀਤੀਆਂ ਕਾਰਵਾਈਆਂ ਦੇ ਨਾਲ, ਸਪੱਸ਼ਟ ਅਨੁਮਤੀਆਂ, pull_request_target ਗੇਟਿੰਗ, ਮੈਂਬਰ 2FA, GitHub ਐਪਸ ਸਥਾਪਿਤ ਕੀਤੇ, ਅਤੇ ਕੁੰਜੀਆਂ ਤੈਨਾਤ ਕੀਤੀਆਂ। ਜੋ ਸਪ੍ਰੈਡਸ਼ੀਟ ਪੁਰਾਤੱਤਵ ਦਾ ਅੱਧਾ ਦਿਨ ਹੁੰਦਾ ਸੀ ਉਹ JSON ਅਤੇ ਮਾਰਕਡਾਊਨ ਨੂੰ ਛੱਡਣ ਵਾਲਾ ਇੱਕ ਸਿੰਗਲ ਕਮਾਂਡ ਬਣ ਜਾਂਦਾ ਹੈ। ਵਿਚਕਾਰ ਤਿਮਾਹੀ ਸਮੀਖਿਆ CISਓ ਅਤੇ ਸੰਗਠਨ ਪ੍ਰਸ਼ਾਸਕ ਇੱਕ ਡੀ ਬਣ ਜਾਂਦੇ ਹਨcisਆਇਨ ਮੀਟਿੰਗ, ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਵਾਲੀ ਨਹੀਂ, ਅਤੇ ਕਾਰਵਾਈਯੋਗ ਖੋਜਾਂ ਗੰਭੀਰਤਾ-ਅਧਾਰਤ SLAs ਨਾਲ ਬੈਕਲਾਗ ਮੁੱਦੇ ਬਣ ਜਾਂਦੀਆਂ ਹਨ।

ਇੱਕ ਅਲਾਉ-ਲਿਸਟ ਨੀਤੀ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਵਾਨਿਤ ਪ੍ਰਸ਼ਾਸਕ, ਪ੍ਰਵਾਨਿਤ ਐਪਸ, ਅਤੇ ਰਿਪੋਜ਼ਟਰੀਆਂ ਅਤੇ ਵਰਕਫਲੋ ਲਈ ਫੰਕਸ਼ਨ ਦੁਆਰਾ ਅਨੁਮਤੀਆਂ ਸ਼ਾਮਲ ਹਨ, ਨੂੰ ਸੁਰੱਖਿਆ ਟੀਮ ਤੋਂ ਪੀਆਰ ਸਮੀਖਿਆ ਦੁਆਰਾ ਦਰਸਾਏ ਗਏ ਇੱਕ ਸੰਸਕਰਣ-ਨਿਯੰਤਰਿਤ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ YAML ਦੇ ਰੂਪ ਵਿੱਚ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ। ਕੋਈ ਵੀ ਅਲਾਉਲਿਸਟ ਤਬਦੀਲੀ ਇੱਕ ਸਮੀਖਿਆ ਟ੍ਰੇਲ ਛੱਡਦੀ ਹੈ, ਇਸ ਲਈ ਆਡਿਟ ਸਬੂਤ ਆਪਣੇ ਆਪ ਪੈਦਾ ਹੁੰਦੇ ਹਨ। ਪ੍ਰਭਾਵ ਉਹਨਾਂ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਦਲਣਾ ਹੈ ਜੋ ਅਭਿਲਾਸ਼ੀ ਸਨ, ਜਿਵੇਂ ਕਿ "ਸਾਨੂੰ ਤਿਮਾਹੀ ਆਡਿਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ," ਉਹਨਾਂ ਵਿੱਚ ਜੋ ਰੁਟੀਨ ਹਨ, ਜਿਵੇਂ ਕਿ "ਇਸ ਤਿਮਾਹੀ ਦਾ ਆਡਿਟ ਸੋਮਵਾਰ ਨੂੰ ਆਇਆ," ਅਤੇ ਸੰਗਠਨ ਨੂੰ ਡ੍ਰਿਫਟ-ਡਿਟੈਕਸ਼ਨ ਲਈ ਇੱਕ ਦੁਹਰਾਉਣ ਯੋਗ ਵਿਧੀ ਦੇਣਾ ਹੈ ਜਿਸਦੀ ਐਂਡ-ਟੂ-ਐਂਡ ਸਿਧਾਂਤ ਮੰਗ ਕਰਦਾ ਹੈ।

ਤੁਹਾਨੂੰ ਜਿਨ੍ਹਾਂ ਰਗੜਾਂ ਲਈ ਯੋਜਨਾ ਬਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ

ਤਕਨੀਕੀ ਨਿਯੰਤਰਣ ਸੌਖਾ ਹਿੱਸਾ ਹੈ। ਲੋਕ ਔਖੇ ਹਨ।

ਸਭ ਤੋਂ ਵਧੀਆ ਉਦਾਹਰਣ ਲਗਭਗ ਹਮੇਸ਼ਾ CODEOWNERS ਹੁੰਦੀ ਹੈ। ਜੋੜਨਾ .github/workflows/ @your-org/security ਹਰ ਰੈਪੋ 'ਤੇ ਮਾਮੂਲੀ ਲੱਗਦਾ ਹੈ। ਇੱਕ ਫਾਈਲ, ਇੱਕ ਲਾਈਨ। ਪਰ ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇੰਜੀਨੀਅਰ ਜੋ ਸਾਲਾਂ ਤੋਂ ਵਰਕਫਲੋ ਬਦਲਾਅ ਨੂੰ ਸਵੈ-ਮਿਲਾਉਂਦੇ ਆ ਰਹੇ ਹਨ, ਹੁਣ ਉਹਨਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਸਮੀਖਿਆ ਦੀ ਲੋੜ ਹੈ। ਸੁਰੱਖਿਆ ਪ੍ਰਤੀ ਜਾਗਰੂਕ ਲੋਕ ਵੀ ਪਿੱਛੇ ਹਟਦੇ ਹਨ: ਮੈਂ ਇਹ ਵਰਕਫਲੋ ਲਿਖਿਆ ਹੈ, ਮੈਂ ਇਸਨੂੰ ਸਮਝਦਾ ਹਾਂ, ਮੈਂ ਇੰਤਜ਼ਾਰ ਕਿਉਂ ਕਰ ਰਿਹਾ ਹਾਂ?

ਇਸ ਦਾ ਕਾਰਨ ਸਥਾਪਤ ਕਰਨ ਲਈ ਅਸਲ ਗੱਲਬਾਤ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਵਰਕਫਲੋ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢ ਸਕਦੇ ਹਨ, ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਹੇਠਲੇ ਪੱਧਰ ਦੇ ਖਪਤਕਾਰਾਂ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਸਕਦੇ ਹਨ। ਅੱਖਾਂ ਦੀ ਦੂਜੀ ਜੋੜੀ ਅਵਿਸ਼ਵਾਸ ਨਹੀਂ ਹੈ; ਇਹ ਉਤਪਾਦਨ ਡੇਟਾਬੇਸ ਤਬਦੀਲੀਆਂ 'ਤੇ ਚਾਰ-ਅੱਖਾਂ ਵਾਂਗ ਹੀ ਤਰਕ ਹੈ। ਇੱਕ ਠੋਸ, ਹਾਲੀਆ ਸਪਲਾਈ-ਚੇਨ ਘਟਨਾ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਨਾ, ਭਾਵੇਂ ਉਦਯੋਗ ਤੋਂ ਹੋਵੇ ਜਾਂ ਤੁਹਾਡੇ ਆਪਣੇ ਵਾਤਾਵਰਣ ਤੋਂ, ਬਹੁਤ ਮਦਦ ਕਰਦਾ ਹੈ। ਕੁਝ ਵੀ ਨਿਯੰਤਰਣ ਨੂੰ ਇਸਦੀ ਗੈਰਹਾਜ਼ਰੀ ਦੀ ਅਸਲ ਉਦਾਹਰਣ ਵਾਂਗ ਸਪਸ਼ਟ ਨਹੀਂ ਕਰਦਾ।

ਹੋਰ ਰਗੜ ਵੀ ਇਸੇ ਆਕਾਰ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹਨ:

  • ਸਪੱਸ਼ਟ ਅਨੁਮਤੀਆਂ: ਵਰਕਫਲੋ ਵਿੱਚ ਬਲਾਕ CI ਅਸਫਲਤਾਵਾਂ ਦਾ ਕਾਰਨ ਬਣਦੇ ਹਨ ਜਦੋਂ ਤੱਕ ਯੋਗਦਾਨ ਪਾਉਣ ਵਾਲੇ ਸਕੋਪਡ ਅਨੁਮਤੀਆਂ ਨੂੰ ਨਹੀਂ ਸਮਝਦੇ। ਇਹ ਅਨੁਮਤੀਆਂ ਦੀ ਸਮੱਸਿਆ ਨਹੀਂ ਹੈ, ਪਰ ਇੱਕ ਮਾਨਸਿਕ-ਮਾਡਲ ਸਮੱਸਿਆ ਹੈ।
  • ਟੈਗ ਅਟੱਲਤਾ: ਰੀਲੀਜ਼ ਟੂਲਿੰਗ ਨੂੰ ਤੋੜਦਾ ਹੈ ਜੋ ਸਾਲਾਂ ਤੋਂ ਚੁੱਪਚਾਪ ਰੀਟੈਗ ਕਰ ਰਿਹਾ ਹੈ।
  • ਸਾਈਨ ਕੀਤਾ commits: ਜਦੋਂ ਤੱਕ GPG ਜਾਂ SSH ਕੁੰਜੀਆਂ ਵਰਕਸਟੇਸ਼ਨਾਂ ਵਿੱਚ ਸਹੀ ਢੰਗ ਨਾਲ ਸੈੱਟ ਨਹੀਂ ਹੋ ਜਾਂਦੀਆਂ, ਉਦੋਂ ਤੱਕ ਔਨਬੋਰਡਿੰਗ ਰਗੜ ਬਣਾਓ। SPVS ਇਸਨੂੰ ਸਿਰਫ਼ ਮੁੱਖ ਕੁੰਜੀਆਂ ਵਿੱਚ ਹੀ ਨਹੀਂ, ਸਗੋਂ ਹਰੇਕ ਰਿਪੋਜ਼ਟਰੀ ਅਤੇ ਯੋਗਦਾਨ ਪਾਉਣ ਵਾਲੇ ਲਈ ਲਾਜ਼ਮੀ ਬਣਾਉਂਦਾ ਹੈ।
  • ਕਲਾਸਿਕ ਨਿੱਜੀ-ਪਹੁੰਚ ਟੋਕਨਾਂ ਨੂੰ ਬਦਲਣਾ: ਬਹੁਤ ਸਾਰੀਆਂ ਰਿਪੋਜ਼ਟਰੀਆਂ ਅਤੇ ਵਰਕਫਲੋ ਫਾਈਲਾਂ ਵਿੱਚ ਲਗਭਗ ਹਰ ਟੀਮ ਨੂੰ ਛੂੰਹਦਾ ਹੈ।

ਉਹ ਪੈਟਰਨ ਜੋ ਕੰਮ ਕਰਦਾ ਹੈ: ਹਰੇਕ ਨਿਯੰਤਰਣ ਨੂੰ ਇੱਕ ਖਾਸ ਖ਼ਤਰੇ ਨਾਲ ਪੇਸ਼ ਕਰੋ ਜੋ ਇਸਨੂੰ ਰੋਕਦਾ ਹੈ, ਇੱਕ ਜਾਂ ਦੋ ਰਿਪੋਜ਼ਟਰੀਆਂ 'ਤੇ ਪਾਇਲਟ ਕਰੋ, ਆਗਿਆ ਸੂਚੀਬੱਧ ਅਪਵਾਦਾਂ ਨਾਲ ਰੋਲ ਆਊਟ ਕਰੋ, ਅਤੇ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਸਮਾਂ-ਸੀਮਾ 'ਤੇ ਅਪਵਾਦਾਂ ਨੂੰ ਰਿਟਾਇਰ ਕਰੋ। ਇੰਜੀਨੀਅਰ ਜੋ ਸਭ ਤੋਂ ਵੱਧ ਪਿੱਛੇ ਹਟਦੇ ਹਨ, ਅਕਸਰ ਤਰਕ ਨੂੰ ਦੇਖਣ ਤੋਂ ਬਾਅਦ ਸਭ ਤੋਂ ਮਜ਼ਬੂਤ ​​ਸਮਰਥਕ ਬਣ ਜਾਂਦੇ ਹਨ।

ਇੱਕ ਡੂੰਘਾ ਨੁਕਤਾ: ਇੱਥੇ ਅੰਤ ਤੋਂ ਅੰਤ ਤੱਕ ਦਾ ਸਿਧਾਂਤ ਕੱਟਦਾ ਹੈ। ਤੁਸੀਂ ਚੁਣ-ਚੁਣ ਨਹੀਂ ਸਕਦੇ। ਰਿਲੀਜ਼ ਗਵਰਨੈਂਸ ਨੂੰ ਢਿੱਲਾ ਛੱਡਦੇ ਹੋਏ ਬਿਲਡ ਸਟੇਜ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਨਾਲ ਝੂਠਾ ਵਿਸ਼ਵਾਸ ਮਿਲਦਾ ਹੈ, ਜੋ ਕਿ ਬਿਲਕੁਲ ਅਸਫਲਤਾ ਮੋਡ ਹੈ ਜਿਸਨੂੰ SPVS ਲੇਖਕ ਕਹਿੰਦੇ ਹਨ। ਹਰ ਪੜਾਅ ਨੂੰ ਇਕੱਠੇ ਅੱਗੇ ਵਧਣਾ ਪੈਂਦਾ ਹੈ, ਭਾਵੇਂ ਇੱਕ ਖਾਸ ਨਿਯੰਤਰਣ ਇਕੱਲਤਾ ਵਿੱਚ ਅਸਪਸ਼ਟ ਮਹਿਸੂਸ ਹੋਵੇ।

ਲਾਗਤ: ਪੜਾਅ 1 ਲਈ ਲਗਭਗ ਇੱਕ ਮਹੀਨਾ ਬੀਤਿਆ ਇੰਜੀਨੀਅਰਿੰਗ ਸਮਾਂ, ਇੱਕ ਛੋਟੀ ਸੰਸਥਾ ਲਈ L2 ਪਾਲਣਾ 'ਤੇ ਕੇਂਦ੍ਰਿਤ, ਜੋ ਕਿ DevOps, ਸੁਰੱਖਿਆ, ਅਤੇ ਇੰਜੀਨੀਅਰਿੰਗ ਸਮੀਖਿਅਕਾਂ ਵਿੱਚ ਫੈਲਿਆ ਹੋਇਆ ਹੈ। ਨਿਵੇਸ਼ ਆਸਾਨੀ ਨਾਲ ਵਾਪਸ ਭੁਗਤਾਨ ਕਰਦਾ ਹੈ। ਇੱਕ ਸਿੰਗਲ ਰੋਕੀ ਗਈ ਸਪਲਾਈ-ਚੇਨ ਘਟਨਾ ਇਸਨੂੰ ਕਈ ਵਾਰ ਕਵਰ ਕਰਦੀ ਹੈ। ਵੱਡੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਅਨੁਪਾਤਕ ਤੌਰ 'ਤੇ ਵਧੇਰੇ ਬਜਟ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ, ਪਰ ਪੜਾਅਵਾਰ L1 ਤੋਂ L2 ਤੋਂ L3 ਢਾਂਚੇ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਪ੍ਰੋਗਰਾਮ ਪੂਰਾ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਮੁੱਲ ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਅੱਗੇ ਕੀ ਹੈ

SPVS v1.5 AI-ਸਬੰਧਤ ਨਿਯੰਤਰਣਾਂ ਦੇ ਨਾਲ ਦੂਰੀ 'ਤੇ ਹੈ: AI-ਸਹਾਇਕ ਕੋਡ ਦੀ ਉਤਪਤੀ, guardrails CI ਵਰਕਫਲੋ ਲਈ ਜੋ LLM ਕਹਿੰਦੇ ਹਨ, AI-ਤਿਆਰ ਕੀਤੇ ਗਏ ਲਈ ਟ੍ਰੇਲ ਦੀ ਸਮੀਖਿਆ ਕਰੋ pull requests, ਅਤੇ ਉੱਭਰ ਰਹੇ ਖਤਰਿਆਂ ਜਿਵੇਂ ਕਿ ਸਲੋਪਸਕਵਾਟਿੰਗ ਦੇ ਵਿਰੁੱਧ ਬਚਾਅ, ਜਿੱਥੇ ਹਮਲਾਵਰ ਪੈਕੇਜ ਨਾਮ ਰਜਿਸਟਰ ਕਰਦੇ ਹਨ ਜੋ AI ਕੋਡਿੰਗ ਸਹਾਇਕ ਭਰਮ ਵਿੱਚ ਪਾਉਂਦੇ ਹਨ, ਅਤੇ ਕਾਰਜਸ਼ੀਲ AI-ਉਤਪੰਨ ਮਾਲਵੇਅਰ ਜਿਸਦੀ CrowdStrike ਜੰਗਲੀ ਵਿੱਚ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ। ਉਹ ਸੰਗਠਨ ਜੋ ਪਹਿਲਾਂ ਹੀ AI-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਟੈਗ ਕਰਦੇ ਹਨ commits ਅਤੇ PRs ਆਪਣੇ ਅੰਦਰੂਨੀ ਵਿਕਾਸ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ਾਂ ਵਿੱਚ ਇਸ ਅਨੁਕੂਲਨ ਨੂੰ ਕੰਮ ਦੇ ਇੱਕ ਨਵੇਂ ਪ੍ਰੋਗਰਾਮ ਦੀ ਬਜਾਏ ਵਧਦਾ ਹੋਇਆ ਦੇਖਣਗੇ।

ਸੰਸਕਰਣ 2.0 ਤੋਂ ਰਨਟਾਈਮ ਨਿਗਰਾਨੀ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਜੀਵਨ ਚੱਕਰ ਦੀਆਂ ਜ਼ਰੂਰਤਾਂ ਨੂੰ ਡੂੰਘਾ ਕਰਨ ਦੀ ਉਮੀਦ ਹੈ। ਇੱਕ ਵਾਜਬ ਸੰਗਠਨਾਤਮਕ ਰੋਡਮੈਪ: Q2 2026 ਦੇ ਅੰਤ ਤੱਕ ਬਾਕੀ ਬਚੇ L3 ਪਾੜੇ ਨੂੰ ਪੂਰਾ ਕਰਨਾ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ SLSA provenance ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ standard CI/CD, ਉਤਪਾਦਨ ਤੈਨਾਤੀਆਂ ਲਈ ਮੈਨੂਅਲ ਗੇਟ, ਅਤੇ ਕੇਂਦਰੀਕ੍ਰਿਤ ਪਛਾਣ ਪ੍ਰਦਾਤਾ, ਫਿਰ ਰੱਖ-ਰਖਾਅ ਮੋਡ ਵਿੱਚ ਸ਼ਿਫਟ ਕਰੋ। ਹਰ ਨਵਾਂ ਰਿਪੋਜ਼ਟਰੀ ਅਨੁਕੂਲ ਹੋਣਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਅਤੇ ਹਰ ਤਿਮਾਹੀ ਆਡਿਟ ਜਲਦੀ ਡਿੱਗਦਾ ਹੈ।

ਫਰਸ਼ਦ ਅਬਾਸੀ, ਕੈਮਰਨ ਵਾਲਟਰਸ, ਅਤੇ OWASP SPVS ਵਰਕਿੰਗ ਗਰੁੱਪ ਦਾ ਦਿਲੋਂ ਧੰਨਵਾਦ। ਇਸ ਤਰ੍ਹਾਂ ਦੇ ਪ੍ਰੋਜੈਕਟ ਹਰ ਉਸ ਸੰਗਠਨ ਲਈ ਸੀਮਾ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ ਜੋ ਸਪਲਾਈ-ਚੇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਪ੍ਰਤੀਕਿਰਿਆਸ਼ੀਲ ਹੋਣ ਦੀ ਬਜਾਏ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਕਰਨਾ ਚਾਹੁੰਦਾ ਹੈ।

ਕੀ ਟੇਕਵੇਅਜ਼

OWASP SPVS

ਕੁਝ ਚੀਜ਼ਾਂ ਜੋ ਸਾਡੇ ਖਾਸ ਸੰਦਰਭ ਤੋਂ ਪਰੇ ਅਨੁਵਾਦ ਕਰਦੀਆਂ ਹਨ:

  • ਇਸਨੂੰ ਅਜ਼ਮਾਉਣ ਲਈ: SPVS ਲੋੜਾਂ CSV ਡਾਊਨਲੋਡ ਕਰੋ ਅਤੇ ਆਪਣੇ ਮੌਜੂਦਾ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਇੱਕ ਸਪ੍ਰੈਡਸ਼ੀਟ ਵਿੱਚ ਮੈਪ ਕਰੋ। ਤੁਹਾਨੂੰ ਇੱਕ ਦਿਨ ਦੇ ਅੰਦਰ ਪਤਾ ਲੱਗ ਜਾਵੇਗਾ ਕਿ ਇਹ ਫਿੱਟ ਬੈਠਦਾ ਹੈ ਜਾਂ ਨਹੀਂ।
  • ਇੱਕ ਟੀਚਾ ਪੱਧਰ ਚੁਣੋ ਅਤੇ ਅਗਲੇ 'ਤੇ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾਂ ਇਸਨੂੰ ਭੇਜੋ। L1 ਤੋਂ L2 ਤੋਂ L3 ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ, ਸੀਮਾ ਨਹੀਂ।
  • The pipeline ਨਿਸ਼ਾਨਾ ਹੈ। ਐਪਲੀਕੇਸ਼ਨ-ਕੇਂਦ੍ਰਿਤ ਨਿਯੰਤਰਣ ਜ਼ਰੂਰੀ ਹਨ ਪਰ ਕਾਫ਼ੀ ਨਹੀਂ ਹਨ; ਇਲਾਜ ਕਰੋ pipeline ਪਹਿਲੀ ਸ਼੍ਰੇਣੀ ਦੇ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਵਜੋਂ।
  • ਪੂਰੀ ਪੁਸ਼ਟੀ ਕਰੋ pipeline, ਇੱਕ ਟੁਕੜਾ ਨਹੀਂ। ਨਿਰਭਰਤਾ ਸਕੈਨਿੰਗ ਵਿੱਚ ਤਾਕਤ ਕਮਜ਼ੋਰ ਰੀਲੀਜ਼ ਗਵਰਨੈਂਸ ਜਾਂ ਅਣ-ਨਿਗਰਾਨੀ ਵਾਲੇ ਬਿਲਡ ਵਾਤਾਵਰਣਾਂ ਦੀ ਪੂਰਤੀ ਨਹੀਂ ਕਰਦੀ।
  • ਸਪ੍ਰੈਡਸ਼ੀਟਾਂ ਸਨੈਪਸ਼ਾਟ ਹਨ; ਡ੍ਰਿਫਟ ਨਿਰੰਤਰ ਹੈ। ਆਡਿਟ ਦੇ ਵਿਚਕਾਰ ਰੁਕਾਵਟ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਆਟੋਮੇਸ਼ਨ ਬਣਾਓ, ਭਾਵੇਂ ਇੱਕ ਮਾਮੂਲੀ ਇਨ-ਹਾਊਸ ਟੂਲ ਵੀ।
  • ਸੰਗਠਨਾਤਮਕ ਕੰਮ ਤਕਨੀਕੀ ਕੰਮ ਨਾਲੋਂ ਔਖਾ ਹੈ। ਗੱਲਬਾਤ ਅਤੇ ਪਾਇਲਟ-ਪਹਿਲਾਂ-ਰੋਲਆਉਟ ਲਈ ਬਜਟ ਸਮਾਂ, ਅਤੇ ਹਰੇਕ ਨਿਯੰਤਰਣ ਦੁਆਰਾ ਰੋਕੇ ਗਏ ਖਾਸ ਖ਼ਤਰੇ ਦੀ ਵਿਆਖਿਆ ਕਰੋ।

ਹੋਰ ਪੜ੍ਹਨ ਲਈ

ਲੇਖਕ ਬਾਰੇ

ਸਹਿ-ਸੰਸਥਾਪਕ ਅਤੇ ਸੀਐਸਆਰਓ

ਲੁਈਸ ਰੌਡਰਿਗਜ਼ Xygeni ਸੁਰੱਖਿਆ ਵਿੱਚ ਸਹਿ-ਸੰਸਥਾਪਕ ਅਤੇ ਮੁੱਖ ਸੁਰੱਖਿਆ ਖੋਜ ਅਧਿਕਾਰੀ ਹੈ। ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਵਿੱਚ 20+ ਸਾਲਾਂ ਦੇ ਨਾਲ, ਉਹ AppSec ਸੁਰੱਖਿਆ ਅਤੇ ਉੱਨਤ ਕੋਡ-ਵਿਸ਼ਲੇਸ਼ਣ ਸਮਰੱਥਾਵਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ ਜੋ ਟੀਮਾਂ ਨੂੰ ਅਸਲ ਡਿਲੀਵਰੀ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।

sca-ਟੂਲਜ਼-ਸਾਫਟਵੇਅਰ-ਰਚਨਾ-ਵਿਸ਼ਲੇਸ਼ਣ-ਟੂਲਜ਼
ਆਪਣੇ ਸਾਫਟਵੇਅਰ ਜੋਖਮਾਂ ਨੂੰ ਤਰਜੀਹ ਦਿਓ, ਸੁਧਾਰੋ ਅਤੇ ਸੁਰੱਖਿਅਤ ਕਰੋ
ਕੋਈ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੀ ਲੋੜ ਨਹੀਂ

ਆਪਣੇ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਅਤੇ ਡਿਲੀਵਰੀ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ

ਜ਼ਾਇਜੇਨੀ ਪ੍ਰੋਡਕਟ ਸੂਟ ਦੇ ਨਾਲ