SolarWinds zaprezentował nowy model rozwoju oprogramowania, nazwany systemem budowania nowej generacji, który ma nadzieję, że pomoże uniknąć powtórki niszczycielskiego Cyberatak Sunburst Grudzień 2020i służyć jako plan bezpiecznego tworzenia oprogramowania w pozostałej części branży.
Model został opracowany w ramach wewnętrznej inicjatywy firmy „safe-by-design”, którą ustanowił dyrektor generalny Sudhakar Ramakrishna w 2021 r. po ataku Sunburst, w którym wspierane przez Rosję cyberprzestępcy zyskali przyczółek w sieciach klientów SolarWinds – w tym w agencjach rządowych USA – po dostarczeniu złośliwej aktualizacji do platformy Orion firmy.
„Przejrzysta komunikacja i współpraca w branży to jedyny sposób na skuteczną ochronę naszej wspólnej infrastruktury cybernetycznej przed ewoluującymi zagrożeniami” — powiedział Ramakrishna.
„Nasza inicjatywa bezpiecznego projektowania ma na celu ustanowienie nowego standardu bezpieczeństwa łańcucha dostaw oprogramowania poprzez innowacje w systemach i procesach budowania. Wierzymy, że nasi klienci, koledzy i szersza branża również mogą skorzystać z naszych praktyk”.
System budowania nowej generacji został opracowany w przyspieszonym harmonogramie w ciągu ostatniego roku, aby uwzględnić nowe standardy najlepszych praktyk i technologii w zakresie rozwoju, aby wzmocnić integralność całego środowiska budowania.
Jak śledzony przez Ramakrishna w wywiadzie dla Computer Weekly z września 2021 r.wiąże się to z wykorzystaniem tak zwanego procesu „równoległej budowy”, w którym tworzenie oprogramowania odbywa się na wielu, bezpiecznych, zduplikowanych ścieżkach, co stanowi podstawę do kontroli integralności.
System budowy nowej generacji jest zgodny z czterema kluczowymi zasadami bezpiecznego projektowania:
- Operacje dynamiczne – co oznacza, że wykorzystywane są tylko krótkoterminowe środowiska programistyczne, które ulegają samozniszczeniu po wykonaniu określonego zadania.
- Produkty do systematycznej budowy – co oznacza zapewnienie, że produkty do budowy mogą być tworzone deterministycznie, tak aby wszelkie nowo tworzone produkty uboczne miały zawsze identyczne i bezpieczne komponenty.
- Proces jednoczesnego budowania – co oznacza tworzenie produktów ubocznych rozwoju oprogramowania, takich jak modele danych, równolegle w celu stworzenia podstawy do wykrywania wszelkich nieoczekiwanych modyfikacji.
- Szczegółowa ewidencja — co oznacza śledzenie każdego etapu procesu tworzenia oprogramowania w celu śledzenia i trwałego potwierdzenia ewidencji.
Ponieważ poprzedni proces tworzenia oprogramowania SolarWinds jest powszechnie stosowany w branży technologicznej, organizacja zdecydowała się również wydać komponenty systemu budowania nowej generacji jako oprogramowanie typu open source, aby umożliwić innym skorzystanie z tego, czego się nauczyli, i pomóc w osiągnięciu pewnego celu do podnoszenia standardów branżowych dla bezpiecznych procesów rozwoju.
Ta otwartość jest zgodna z celami dyrektora generalnego, aby zarówno dzielić się wiedzą SolarWinds z jej doświadczenia, jak i współpracować z innymi. Ramakrishna, który dopiero co podpisał kontrakt i nie pracował jeszcze technicznie dla SolarWinds, kiedy doszło do ataku, zdobył pochwały za reakcję na incydent i późniejszą szczerość i często wzywa innych do naśladowania SolarWinds.
Wcześniej w tym miesiącu na konferencji RSA w San Francisco, Ramakryszna wezwał firmy zajmujące się oprogramowaniem do dedykowania pracowników do pracy u boku rządu USA Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury poprawić czasy współpracy i reakcji na incydenty.
„Jedynym sposobem, w jaki nasza branża będzie w stanie skutecznie reagować na zmieniający się krajobraz zagrożeń, jest prawdziwe partnerstwo między sektorem publicznym i prywatnym” – powiedział.