კოდის უსაფრთხოება ნიშნავს უსაფრთხოების ჩაშენებას უშუალოდ კოდში. ღრუბლოვანი უსაფრთხოების მდგომარეობის მართვისა და ღრუბლოვანი სამუშაო დატვირთვის დაცვის ტრადიციული გადაწყვეტილებებისგან განსხვავებით, ღრუბლოვანი კოდის უსაფრთხოება ფოკუსირებულია კოდზე გამოყენების რამდენიმე ვარიანტით, მათ შორის Infrastructure as Code-ის უსაფრთხოებაზე, აპლიკაციის კოდის უსაფრთხოებასა და პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის უსაფრთხოებაზე.
კოდის უსაფრთხოება ნიშნავს უსაფრთხოების ჩაშენებას უშუალოდ კოდში. ღრუბლოვანი უსაფრთხოების მდგომარეობის მართვისა და ღრუბლოვანი სამუშაო დატვირთვის დაცვის ტრადიციული გადაწყვეტილებებისგან განსხვავებით, ღრუბლოვანი კოდის უსაფრთხოება ფოკუსირებულია კოდზე გამოყენების რამდენიმე ვარიანტით, მათ შორის Infrastructure as Code-ის უსაფრთხოებაზე, აპლიკაციის კოდის უსაფრთხოებასა და პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის უსაფრთხოებაზე.
ღრუბლოვანი ტექნოლოგიები, როგორებიცაა IaC და კონტეინერები, აერთიანებს აპლიკაციებისა და ინფრასტრუქტურის შემუშავების პრინციპებს, მეტი მოქნილობის, მასშტაბურობისა და გამოყენების მოხერხებულობის უზრუნველყოფით. ამ ტექნოლოგიებმა არა მხოლოდ ღრუბლის შექმნის ტექნოლოგიები შეცვალა, არამედ მისი დაცვის ხერხებიც.
ინფრასტრუქტურა, როგორც კოდი — ესაა თანამედროვე ტექნოლოგია და პროცესი, სადაც ინფრასტრუქტურა იქმნება და იმართება კოდის მანქანით წასაკითხი ფაილებით. ისეთი პლატფორმები, როგორიცაა Terraform და CloudFormation, საშუალებას აძლევს გუნდებს, დაწერონ დეკლარაციული ან იმპერატიული კოდის ფაილები, შეამოწმონ ეს ფაილები თავიანთი ვერსიების კონტროლის სისტემასა და CI/CD-ში (Continuous Integration / Continuous Deployment) და შემდეგ ღრუბლოვანი რესურსები სხვადასხვა სფეროში გაავრცელონ.
IaC-ს შემოაქვს ახალი ასპექტები, რომლებიც უსაფრთხოებისადმი ტრადიციულ მიდგომებში არაა გათვალისწინებული. ტრადიციული გადაწყვეტები ღრუბლოვანი უსაფრთხოების პრობლემებს ძირითადად თვალს ადევნებენ შესრულების სფეროებში, ასევე ცნობილი როგორც არასწორი კონფიგურაციები. IaC-ის გამოყენების შემთხვევაში, კოდის ფაილში ერთმა არასწორმა კონფიგურაციამ შეიძლება ათასობით არასწორი კონფიგურაცია და ღრუბლოვან სფეროებში გაფრთხილებები გამოიწვიოს.
კოდის უსაფრთხოება ამ პრობლემას აგვარებს დეველოპერობის სასიცოცხლო ციკლის ადრეულ ეტაპებზე უსაფრთხოების უკუკავშირის მიწოდებით, რეაქტიული მიდგომის ნაცვლად.
არასწორი კონფიგურაციების აღმოფხვრა დეველოპერობისა და აწყობის ეტაპებზე საშუალებას იძლევა დააჩქაროთ და უფრო იაფი გახადოთ შესწორებები, თანაც ჯერ კიდევ მის ჩაშვებამდე. ასეთი მიდგომა ამცირებს გაფრთხილებების რაოდენობას, რომლის სორტირებაც უსაფრთხოების გუნდებს უწევთ და ამცირებს დროს, რომელსაც ინჟინრები მსგავსი პრობლემების მოგვარების დროს ხარჯავენ.
წარმატებული IaC კოდის უსაფრთხოების სტრატეგიის გასაღები არის უსაფრთხოების უზრუნველყოფა უშუალოდ დეველოპერის ინსტრუმენტებსა და სამუშაო პროცესებში. კოდში სასარგებლო უკუკავშირის უზრუნველყოფით და აწყობის კონვეიერში უსაფრთხოების ზომების ჩანერგვით, IaC-ის უსაფრთხოება დეველოპერებს საშუალებას აძლევთ, შექმნან ინფრასტრუქტურა, რომელიც ნაგულისხმევად უსაფრთხოა.
აპლიკაციების კოდის უსაფრთხოება საწყის კოდში, დამოკიდებულებებსა და ღია საწყისი კოდის მქონე პაკეტებში ცნობილი დაუცველობების იდენტიფიცირებაზე არის მიმართული. დაუცველობები უსაფრთხოების საფრთხეს შესაძლოა აპლიკაციის შემუშავების ნებისმიერ ეტაპზე წარმოადგენდნენ, მაგრამ კოდის უსაფრთხოება თვითონ აპლიკაციის კოდზეა ფოკუსირებული.
უსაფრთხოების სანდო სტრატეგია უსაფრთხო პროგრამირების საუკეთესო პრაქტიკებსა და დაუცველობების გამოვლენისთვის კოდის შემოწმებას ეყრდნობა. ავტომატური ტესტირების წყალობით, ისეთი ტექნოლოგიების გამოყენებით, როგორიცაა აპლიკაციების უსაფრთხოების სტატიკური ტესტირება (Static Application Security Testing, SAST) სამომხმარებლო კოდისთვის და პროგრამული უზრუნველყოფის შემადგენლობის ანალიზი (Software Composition Analysis, SCA) ღია საწყისი კოდისთვის, კოდის უსაფრთხოების უზრუნველყოფის გადაწყვეტილებები ავსებენ ღრუბლოვანი სამუშაო დატვირთვის დაცვას, მაქსიმალურად ადრეულ ეტაზე შესაძლო დაუცველობის გამოვლინებით.
ისევ და ისევ, აპლიკაციებისთვის კოდის უსაფრთხოების სანდო სტრატეგიის გასაღებია დაუცველობის აღმოჩენის პრაქტიკული შედეგების მიწოდება ადამიანებისთვის, რომელთაც დიდი ცოდნა აქვთ კოდზე — დეველოპერებისთვის. ეს მიიღწევა მხოლოდ ამ პროცესში დეველოპერების ინტეგრაციით და იმის დეტალური კონტროლით, როგორ შეიძლება თავსებადი ვერსიების განახლება.
კოდის უსაფრთხოების კიდევ ერთ გასაღებს წარმოადგენს კონტექსტი და ინფრასტრუქტურის არასწორი კონფიგურაციებისა და აპლიკაციის დაუცველობების ხილვადობა. ინფრასტრუქტურასა და აპლიკაციას შორის, ღრუბლოვან პროგრამულ უზრუნველყოფაში, საზღვრები წაშლილია. ინფრასტრუქტურა — ესაა საფუძველი, რაზეც სრულდება აპლიკაციები და, შესაბამისად, ისინი განუყოფლად დაკავშირებულნი არიან. იგივე ეხება უსაფრთხოებას.
როგორც ინფრასტრუქტურის, ისე ღრუბლოვანი აპლიკაციების გამოყენებითი დონეების ხელმისაწვდომობა აუმჯობესებს გუნდების უნარს დაალაგონ პრიორიტეტები და უსაფრთხოების პრობლემები მათი გამოყენების რეალური შესაძლებლობების საფუძველზე გადაწყვიტონ. გაუმჯობესებული ხილვადობა საშუალებას აძლევს გუნდებს სწრაფად გამოასწორონ გამოვლენილი დაუცველობები, გააუქმონ გადაჭარბებული წვდომა და დაბლოკონ შესაბამისი ვირტუალური მანქანები, რათა შეტევის ზიანი შემცირდეს.
პროგრამული უზრუნველყოფის მიწოდების ჯაჭვი მოიცავს აპლიკაციებისა და ინფრასტრუქტურის კომპონენტებს, ასევე საბაზისო კონვეიერებს, მათ შორის ვერსიის კონტროლის სისტემებს (Version Control Systems, VCS), უწყვეტი ინტეგრაციისა და უწყვეტი განთავსების კონვეიერებს (Continuous Integration / Continuous Deployment, CI/CD), ასევე რეესტრებს.
ამავე დროს, ღრუბლოვანი აპლიკაციის უსაფრთხოება ყველაზე სუსტ რგოლზეა დამოკიდებული. სწორედ ამიტომაა, რომ მიწოდების კონვეიერების უსაფრთხოება ასევე წარმოადგენს კოდის უსაფრთხოების მნიშვნელოვან ნაწილს.
თუ VCS სისტემა უსაფრთხოდ არაა კონფიგურირებული, ბოროტმოქმედებმა შესაძლოა მავნე კოდი გააერთიანონ ან დაუცველ საიდუმლოებებზე წვდომა მოიპოვონ, რამაც შეიძლება უფრო მასშტაბური თავდასხმა გამოიწვიოს.
და თუ CI/CD კონვეიერები საფრთხის ქვეშ დადგებიან, ბოროტმოქმედებმა შეიძლება წვდომა მოიპოვონ ავტორიზაციებზე და გააყალბონ კოდი, რამაც შესაძლოა ინციდენტები მომავალშიც გამოიწვიოს.
მიწოდების ჯაჭვის უსაფრთხოების მოწინავე მეთოდები ფოკუსირებულია კონვეიერების გამყარებასა და წვდომის კონტროლის პარამეტრზე და ფაილების დაცვაზე, რათა მაქსიმალურად შეიზღუდოს წვდომა.
პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის უსაფრთხოება კოდის უსაფრთხოების საიმედო სტრატეგიის მნიშვნელოვანი ნაწილია ისევე, როგორც კონვეიერების, ინფრასტრუქტურასა და აპლიკაციის კოდს შორის კავშირის გაგება, დეველოპმენტის მთელი სასიცოცხლო ციკლის განმავლობაში.
პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის გამჭვირვალობის გაზრდით, კოდის უსაფრთხოების უზრუნველყოფის შესახებ გადაწყვეტილებები გუნდებს საშუალებას აძლევს სრულად ისარგებლონ ღრუბლოვანი ტექნოლოგიების უპირატესობებით და დაიცვან საკუთარი ინფრასტრუქტურა კოდიდან ღრუბლამდე.
