V1.10.1 Malicious Software Architecture

Requirement:

Verify that a source code control system is in use, with procedures to ensure that check-ins are accompanied by issues or change tickets. The source code control system should have access control and identifiable users to allow traceability of any changes.

Explanation:

Требование определяет необходимость использования контроля доступа и идентификации пользователей для отслеживания любых изменений, вносимых в исходный код.

Source Code Control System:

• Система управления исходным кодом, часто называемая системой контроля версий ("version control system", VCS) или репозиторием исходного кода, является важнейшим инструментом в разработке программного обеспечения.
• Она позволяет разработчикам отслеживать изменения в исходном коде, вести историю правок и организовать совместную работу.

Procedures for Check-ins:

• Процедуры регистрации или фиксации обеспечивают документирование изменений в исходном коде и их привязку к конкретным проблемам или заявкам на изменения.
• Это означает, что разработчики должны связывать свои изменения с конкретной задачей, отчетом об ошибке, запросом функции или проблемой в системе управления проектами или отслеживания проблем.

Access Control:

• Механизмы контроля доступа в VCS определяют, кто может выполнять такие действия, как фиксация кода, слияние веток или создание новых репозиториев.
• Контроль доступа обеспечивает внесение изменений в кодовую базу только авторизованными лицами, что снижает риск несанкционированных или злонамеренных изменений.

Identifiable Users:

• В VCS должен вестись учет идентифицируемых пользователей, вносящих изменения в код.
• Идентификация пользователей очень важна для целей отслеживания, отчетности и аудита.

Change Tracking: Привязка изменений кода к проблемам или тикетам изменений обеспечивает контекст для объяснения причин внесения изменений. Это помогает командам понять цель каждой модификации кода.

Traceability: Идентификация пользователей и ассоциации проблем позволяет отслеживать их появление. Если в будущем будет обнаружена проблема безопасности или уязвимость, ее можно будет отследить по конкретным изменениям кода и ответственным за них лицам.

Accountability: Контроль доступа и идентификация пользователей позволяют нести ответственность за изменения кода, что способствует ответственному подходу к кодированию.

Collaboration: В VCS должен вестись учет идентифицируемых пользователей, вносящих изменения в код. Разработчики могут получить ссылки на конкретные проблемы и совместно работать над ними.

Security: Данная практика способствует повышению общей безопасности, позволяя оперативно выявлять и устранять проблемы и уязвимости, связанные с безопасностью.

Предположим, что в качестве системы управления исходным кодом вы используете Git, а для отслеживания задач и проблем в вашем проекте используется GitHub Issues. Чтобы выполнить это требование, разработчики должны указывать номера проблем в сообщениях коммита при внесении изменений в код. Например:

git commit -m "Fixes #123: Refactor authentication module"

Это сообщение о коммите указывает на то, что изменения кода связаны с Issue #123, обеспечивая возможность отслеживать взаимосвязь изменений. 

Remediation:

Чтобы выполнить данное требование, рассмотрим следующие варианты реализации:

1 Select a Source Code Control System: Выберите систему контроля версий, соответствующую потребностям вашего проекта. К числу распространенных вариантов относятся Git, Subversion (SVN) и Mercurial.

2 Integrate with Issue Tracking: Интегрируйте систему управления исходным кодом с системой трекинга проблем или системой управления проектами. Популярными вариантами являются JIRA, GitHub Issues или GitLab Issues.

3 Access Control: Настройте параметры контроля доступа в VCS, чтобы изменения в репозитории могли вносить только авторизованные пользователи. Для определения прав доступа используйте ролевой подход.

4 Enforce Procedures: Установите процедуры, требующие от разработчиков связывать изменения кода с конкретными проблемами или тикетами изменений при коммите кода. Это можно сделать с помощью сообщений коммита или хуков, обеспечивающих такую привязку.

5 Documentation: Задокументируйте процесс и рекомендации по использованию системы управления исходным кодом и системы трекинга проблем.

6 Auditing: Периодически проводите аудит репозитория исходного кода на предмет соблюдения правил ассоциации проблем и правильности настройки контроля доступа.

Additional: