সোর্স কোড ম্যানেজমেন্ট সিস্টেমে গোপন স্ক্যানিংয়ের
সোর্স কোড ম্যানেজমেন্ট (এসসিএম) সিস্টেমের মধ্যে গোপন এক্সপোজার ঘটনাগুলির বৃদ্ধি এই জাতীয় দুর্বলতা সনাক্ত এবং প্রতিরোধের জন্য একটি বিস্তৃত কৌশলের প্রয়োজনীয়তা তুলে ধরা এই নিবন্ধটি আমাদের এসসিএম সিস্টেমের মধ্যে একটি শক্তিশালী গোপন সনাক্তকরণ এবং প্রতিরোধের কাঠামোর বাস্তবায়ন পর্যন্ত প্রাথমিক চ্যালেঞ্জ থেকে আমাদের ব্যাপক আমাদের লক্ষ্য? একটি বহুমুখী কৌশল তৈরি করা যা কেবল প্রযুক্তিগত সমাধানগুলিকে সম্বোধন করে না তবে নিরাপত্তা-সচেতন সংস্কৃতি প্রচারের জন্য প্রক্রিয়া উন্নতি এবং মানবিক কারণগুলি
সোর্স কোডে গোপনীয়তা সনাক্ত করার জন্য অতীত
এই ত্রুটিগুলি স্বীকার করে, আমরা একাধিক উন্নতি শুরু করেছি:
শুরুতে, গোপনীয়তা পরিচালনার জন্য আমাদের পদ্ধতি একটি ইন-হাউস গোপন স্ক্যানার ব্যবহার করার মধ্যে সীমাবদ্ধ ছিল। এই সরঞ্জামটি, যা নিয়মিত এক্সপ্রেশন (রেজেক্স) ব্যবহার করে গোপনীয়তার জন্য পর্যায়ক্রমে সমস্ত সংগ্রহস্থল স্ক্যান করতে এবং পুল অনুরোধ (PRs) করতে সেট আপ করা হয়েছিল, এর যথেষ্ট সীমাবদ্ধতা ছিল। এর মধ্যে রক্ষণাবেক্ষণ সমস্যা, মিস করা বিজ্ঞপ্তি এবং স্ক্যানারের ইউজার ইন্টারফেসে (UI) ফলাফলের সীমাবদ্ধতা অন্তর্ভুক্ত ছিল সক্রিয় প্রতিরোধের ব্যবস্থার অভাবের অর্থ গোপনীয়তা প্রতিশ্রুতিবদ্ধ হতে পারে, বিকাশকারীরা কোনও দুর্ঘটনামূলক সংস্পর্শের বিষয়ে অজানা থাকেন, যা একটি
গোপন সনাক্তকরণের উন্নতি
আমাদের প্রাথমিক সিস্টেমের ত্রুটিগুলি উপলব্ধি করে, আমরা আমাদের গোপন সনাক্তকরণ এবং প্রতিরোধের ক্ষমতাগুলিকে শক্তিশালী করার জন্য কৌশলগত উন্নতির কৌশলগত
- স্ক্যানার সনাক্ত উন্নতি
- সংস্থা জুড়ে অবিচ্ছিন্ন
- প্রতিরোধের জন্য প্রি-কমিট স্ক্যান
- পিআর-এ স্ক্যানিং
- গোপন সংস্পর্শ প্রতিক্রিয়া প্রক্রিয়া
- সচেতনতা এবং প্রশিক্ষণ
আসুন প্রতিটি আরও বিস্তারিতভাবে অধ্যয়ন করা যাক।
স্ক্যানার সনাক্ত উন্নতি
স্ক্যানার সনাক্তকরণের উন্নতির দিকে পরিচালিত করতে পারে এমন অনেক পথগুলির মধ্যে আমরা একটি ভাল রক্ষণাবেক্ষণ করা ওপেন সোর্স সরঞ্জাম ব্যবহার করার সিদ্ধা আমাদের শুরুর পয়েন্ট হিসাবে এই সরঞ্জামটি নির্বাচন করা গুরুত্বপূর্ণ ছিল। একটি বড় সম্প্রদায়ের দ্বারা এর বিকাশ এবং রক্ষণাবেক্ষণ আমাদের একটি নির্ভরযোগ্য ভিত্তি দিয়েছে। যাইহোক, আমরা সদস্য সংগ্রহস্থল স্ক্যান করার জন্য এবং স্ক্যান ফ্রিকোয়েন্সি নির্ধারণের জন্য সতর্কতার পরিকল্পন
বিভিন্ন ধরণের গোপন প্রকাশের সাথে সম্পর্কিত বিভিন্ন ঝুঁকি সম্পর্কে সচেতন, আমরা সরকারী এবং ব্যক্তিগত উভয় গোপনীয়তার প্রকাশকে একই স্তরের উদ্বেগের সাথে চিকিত্সা করার সিদ্ধান্ত নিয়েছি। এই সুষম পদ্ধতিটি সম্ভাব্য নিরাপত্তা হুমকির বিরুদ্ধে একটি শক্তিশালী প্রতিরক্ষা তৈরিতে আমাদের উত্সর্গকে তুলে ধরে রাখে, নিশ্চিত করে যে আমাদের এসসিএম বিভিন্ন ধরণের দুর্বলতার
আমরা আমাদের এসসিএম সিস্টেমকে পুঙ্খানুপুঙ্খভাবে কভার করার জন্য পর্যায়ক্রমিক স্ক্যানের জন্য কাস্টম যুক্তি অতিরিক্তভাবে, আমরা একটি ক্রমাগত স্ক্যানিং বৈশিষ্ট্য যুক্ত করেছি, যা “প্রতিষ্ঠান জুড়ে ক্রমাগত পর্যবেক্ষণ” বিভাগে বিস্তারিত, সম্ভাব্য গোপন এক্সপোজারের জন্য দ্রুত
একটি চ্যালেঞ্জ ছিল স্ক্যান থেকে মিথ্যা পজিটিভের উচ্চ সংখ্যা, অপ্রয়োজনীয় শব্দ যুক্ত করা। ওপেন সোর্স সরঞ্জামটি গোপনীয়তা বৈশিষ্ট্যটির বৈশিষ্ট্যটির জন্য আবার গুরুত্বপূর্ণ ছিল, মিথ্যা সতর্কতাগুলি উল্লেখযোগ্যভাবে হ্রাস করে এবং আমাদের আসল হুমকিগুলিতে মনোনিবেশ করতে সহায়তা করে,
গিটহাব এসসিএম এবং সংস্থাগুলিতে অবিচ্ছিন্ন পর্যবেক্ষণ অগ্রসর
আমাদের সংস্থার সংগ্রহস্থল স্ক্যান করা যথেষ্ট ছিল না, কারণ ডেভেলপাররা তাদের প্রোফাইলগুলিতে সংগ্রহস্থলগুলি ফর্ক করতে পারে, সম্ভাব্য সেখানে গোপনীয়তা প্রদান করতে পারে আমাদের একটি পরিবর্তন সনাক্তকরণ ব্যবস্থা তৈরি করতে হয়েছিল। বিদ্যমান হুকগুলি সংগঠন-ব্যাপী সংগ্রহস্থলগুলির জন্য ভাল কাজ করেছিল তবে পৃথক সদস্য সংগ্রহস্থলগুলি নিরীক্ষণ করতে লড়াই করেছিল, যার ফলে উ
এটি সমাধান করার জন্য, আমরা আমাদের পুরো গিটহাব এসসিএম স্ক্যান করার জন্য একটি কাস্টম পর্যবেক্ষণ সমাধান তৈরি করেছি। এই সিস্টেমটি সংস্থার সংগ্রহস্থলের মধ্যে কোনও পরিবর্তনের জন্য সতর্কতার সাথে স্ক্যান করে এবং সমস্ত সদস্য সংগ্রহস্থলে তার নজরদারি প্রসারিত করে, ব্যাপক কভারেজ নিশ্চিত করে
স্ক্যান সম্পূর্ণ হয়ে গেলে, সিস্টেমটি চিহ্নিত সংগ্রহগুলিতে একটি সমান্তরাল গোপন স্ক্যানিং প্রক্রিয়া শুরু করে, যেকোনো অনুসন্ধানের বিষয়ে আমাদের সতর্ক করে। যদিও এই সমান্তরাল স্ক্যানিং প্রক্রিয়াটি কার্যকর, এটি উন্নতির জন্য জায়গা সরবরাহ করে, বিশেষত দক্ষতা এবং নির্ভুলতার ক্ষেত্রে।
গিটহাব রিপোজিটরিগুলি সুরক্ষিত করার জন্য প্রাক-কমিট গোপন স্ক্যান
জায়গায় সনাক্তকরণ করা যথেষ্ট ছিল না; আমাদের গোপনীয়তা শুরু থেকেই প্রতিশ্রুতিবদ্ধ হওয়া থেকে রোধ করা দরকার ছিল। অতএব, আমরা আমাদের প্রাক-কমিট প্রক্রিয়াতে গোপন স্ক্যানিং যুক্ত করেছি। এটি আমাদের 'শিফট লেফট' কৌশলের অংশ ছিল, যার মধ্যে বিকাশকারীর মেশিনে গোপনীয়তার জন্য রিপোজিটরিগুলি পরীক্ষা করার জন্য বিশ্বব্যাপী প্রাক-কমিট হুকগুলিতে একটি গোপন স্ক্যানার অন্তর্ভুক্ত করা অন্তর্ভুক্ত করা ছিল। উন্নয়ন পাইপলাইনের প্রথম দিকে গোপন সনাক্তকরণকে একীভূত করার লক্ষ্য আমাদের
সমস্ত ডেভেলপার মেশিনে প্রাক-কমিট হুকগুলি স্থাপন এবং সক্রিয় করা কঠিন ছিল। এই হুকগুলি তাদের সংগ্রহস্থলে ম্যানুয়ালি যুক্ত করতে ডেভেলপারদের উপর নির্ভর করা অবিশ্বাসযোগ্য ছিল, কারণ আমরা তাদের ধারাবাহিক ব্যবহার বা কার্যকারিতার গ্যারান্টি দিতে
এটি সমাধানের জন্য, আমরা সমস্ত পরিচালিত ডিভাইসে এই হুকগুলি স্বয়ংক্রিয়ভাবে ইনস্টল করার জন্য একটি মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) স্থাপনা স্ক্রিপ্ট তৈরি করেছি, যার ফলে প্রাক-কমিট কনফিগার করা এই সমাধানটি সুরক্ষার দিকে শক্তিশালী মনোনিবেশ করে বিভিন্ন ডিভাইসের ধরণ, এমডিএম প্ল্যাটফর্ম এবং আর্কিটেকচারের মতো বিভিন্ন কারণকে বিবেচনা করে।
সতর্কতার সাথে রোলআউট সত্ত্বেও, আমরা স্ক্যানগুলি বিকাশকারীর ওয়ার্কফ্লোকে ধীর করে দেয় সে সম্পর্কে কিছু প্রতিক্রিয়া পেয়েছি, যা আমরা পুনরাবৃত্তি এই সতর্ক পদ্ধতিটি আমাদের সিস্টেমটি চিন্তাভাবনায় পরিমার্জন করতে সহায়তা করেছিল, দ্রুত সিদ্ধান্ত এড়ানো এবং একটি মসৃণ এবং আরও কার্যকর স্থাপনা নিশ্চিত করতে
পিআর-এ গিটহাব অ্যাকশন গোপন স্ক্যানিংয়ের মাধ্যমে সুরক্ষা বাড়ানো
এই সমস্ত প্রচেষ্টা সত্ত্বেও, আমরা একটি গুরুত্বপূর্ণ অঞ্চল উপেক্ষা করেছি: পুল অনুরোধ (পিআর)।
আমাদের স্ক্যানার রিপোজিটরি সামগ্রী পরীক্ষা করতে দুর্দান্ত ছিল তবে পিআর এবং তাদের মন্তব্যগুলি পর্যবেক্ষণ করতে ব্যর্থ হয়েছিল। এই ফাঁকটি স্বীকার করে আমাদের সাইবার সিকিউরিটি দল এটি ভবিষ্যতের মনোযোগের জন্য নির্ধারণ করেছে। এদিকে, আমাদের DevOps দল সম্ভাব্য এক্সপোজার সনাক্ত করার জন্য পিআরগুলির জন্য একটি গোপন স্ক্যানার সহ একটি পর্যালোচনা বট তৈরি করেছে। বৈধতা প্রক্রিয়ার অভাবের কারণে এটি প্রচুর শব্দ সৃষ্টি করেছে, তবে একাধিক সরঞ্জাম ব্যবহার করা একটি নিরাপত্তা জাল সরবরাহ করে, দুর্বলতাগুলি ধরে রাখে যা কেউ মিস করতে পারে।
গোপন প্রকাশের বিরুদ্ধে আমাদের প্রতিরক্ষা শক্তিশালী করার জন্য আমাদের যাত্রা চলছে। যদিও উন্নতির জায়গা রয়েছে, বিশেষত শব্দ হ্রাস করা এবং বৈধতা উন্নত করার ক্ষেত্রে, এই চ্যালেঞ্জগুলি শুরু থেকেই শিফট-বাম পদ্ধতি গ্রহণের আমাদের প্রচেষ্টা সহ ভবিষ্যতের অগ্রগতির মঞ্চ নির্ধারণ করে।
গোপন সংস্পর্শ প্রতিক্রিয়া প্রক্রিয়া
প্রয়োজনীয় সরঞ্জামগুলি সেট আপ করার পরে, আমাদের পরবর্তী পদক্ষেপ ছিল সতর্কতাগুলি পরিচালনা করতে এবং এক্সপোজার সময় হ্রাস করার জন্য একটি দ্রুত এবং কার্যকর প্লেবুক তৈরি এক্সপোজারটি পাবলিক বা ব্যক্তিগত কিনা, গোপনীয়তার সাথে যুক্ত সম্পদ, অনুমতি, গোপনীয়তা প্রত্যাহার করার আগে পদক্ষেপ, প্রত্যাহার প্রক্রিয়া, তদন্ত পদ্ধতি এবং দলের সদস্যদের ভূমিকা হিসাবে বিবেচনা করে প্রথমে কোন গোপনীয়তার দিকে মনোনিবেশ করা উচিত তা সিদ্ধান্ত নেওয়ার জন্য আমাদের একটি বিস্তারিত পরিকল্পনা দরকার।
একবার আমাদের এই অগ্রাধিকার কাঠামো পেয়ে গেলে, এটি কীভাবে ব্যবহার করবেন সে সম্পর্কে সমস্ত সুরক্ষা দলগুলি সম্পূর্ণরূপে অবহিত হয়েছিল তা নিশ্চিত করা গুরুত্বপূর্ণ ছিল। এটি গোপন প্রকাশের যে কোনও ঘটনায় একীভূত এবং জ্ঞানী প্রতিক্রিয়া নিশ্চিত করবে।
কার্যকর গোপন সনাক্তকরণের সংস্কৃতি উত্সাহিত করা
একা প্রযুক্তিগত সমাধান সংবেদনশীল তথ্যের সুরক্ষা নিশ্চিত করতে পারে না। আমরা আমাদের সুরক্ষা কাঠামোতে মানবিক কারণগুলির গুরুত্ব উপলব্ধি করেছি এবং সচেতনতা এবং প্রশিক্ষণ কর্মসূচি বাস্তবা এই উদ্যোগগুলির লক্ষ্য দলের সদস্যদের গোপন সনাক্তকরণের গুরুত্ব সম্পর্কে শিক্ষিত করা, প্রাক-কমিট হুকের মতো প্রতিরোধমূলক সরঞ্জামগুলি ব্যবহার করে এবং গোপন প্রকাশের সম্ভাব্য প্রভাবগুলি এই বিস্তৃত পদ্ধতিটি নিশ্চিত করে যে আমাদের দলের সদস্যরা কেবল উপলব্ধ সরঞ্জামগুলি সম্পর্কে সচেতন নয় বরং আমাদের সুরক্ষা ভঙ্গি বজায় রাখতে তাদের গুরুত্ব
সফ্টওয়্যার উন্নয়ন কৌশলে সাইবার
আমাদের এসসিএম সিস্টেমের মধ্যে গোপন সনাক্তকরণ এবং প্রতিরোধকে শক্তিশালী করার দিকে আমাদের যাত্রা চ্যালেঞ্জিং এবং ফলজনক প্রযুক্তিগত, প্রক্রিয়া সম্পর্কিত এবং মানবিক কারণগুলিকে ব্যাপকভাবে সমাধান করে আমরা গোপন প্রকাশের হুমকির বিরুদ্ধে একটি শক্তিশালী প্রতিরক্ষা প্রতিষ্ঠা করেছি এই বহুমুখী কৌশলটি কেবল বর্তমান ঝুঁকিগুলি হ্রাস করে না বরং ক্রমাগত উন্নতির জন্য একটি ভিত্তি স্থাপন করে, এটি একটি ক্রমাগত বিকশিত ডিজিটাল ল্যান্ডস্কেপে সুরক্ষার উচ্চ মান বজায়
লেখক সম্পর্কে
হরিশ পূর্ণা চন্দার হলেন ডেরিভের একজন পণ্য নিরাপত্তা প্রকৌশলী যিনি একটি শিফট-বাম মানসিকতা যিনি সুরক্ষা সম্পর্কিত কিছু পছন্দ করেন, বিশেষত অ্যাপসেক।
.webp)
