Aqua Security se asocia con Center for Internet Security para presentar la primera guía de seguridad en la cadena de suministro de software; Chain-Bench es la primera herramienta de código abierto para validar la cadena de suministro de software para garantizar el cumplimiento de estas nuevas pautas de CIS
Aqua Security, el líder en seguridad nativa de la nube, y el Centro para la Seguridad de Internet (CIS), publicaron hoy las primeras pautas formales de la industria para la seguridad de la cadena de suministro de software. CIS es una organización independiente sin fines de lucro dedicada a crear más confianza en el mundo conectado. La Guía de seguridad de la cadena de suministro de software de CIS, desarrollada en colaboración entre las dos organizaciones, brinda más de 100 recomendaciones esenciales que se pueden aplicar a una variedad de tecnologías y plataformas de uso común. Además, Aqua presentó Security Chain-Bench, la primera herramienta para auditar la cadena de suministro de software para garantizar el cumplimiento de las nuevas pautas.
Mejores prácticas para la seguridad en la cadena de suministro de software
Aunque las amenazas a la cadena de suministro de software continúan aumentando, numerosos estudios muestran que la seguridad en los entornos de desarrollo aún necesita mejoras. Las nuevas pautas de CIS establecen las mejores prácticas generales que respaldan importantes estándares emergentes, como los niveles de cadena de suministro para artefactos de software (SLSA) y The Update Framework (TUF). Al mismo tiempo, las pautas brindan recomendaciones básicas para definir y probar configuraciones en las plataformas compatibles con los puntos de referencia.
Dentro de la guía, las recomendaciones cubren cinco categorías de la cadena de suministro de software. Esto incluye el código fuente, las canalizaciones de compilación, las dependencias, los artefactos y la implementación. El CIS tiene la intención de ampliar esta guía para incluir puntos de referencia de CIS más específicos, creando recomendaciones de seguridad consistentes en todas las plataformas. Al igual que con toda la guía de CIS, esta guía se publicará y revisará en todo el mundo. Los comentarios ayudarán a garantizar que la futura guía específica de la plataforma sea precisa y relevante.
Chain Bench: herramienta de seguridad de código abierto
Para ayudar a las empresas a implementar las pautas de CIS, Aqua Security ha lanzado la herramienta de código abierto Chain-Bench. Chain-Bench escanea la pila de DevOps desde el código fuente hasta la implementación y simplifica el cumplimiento de las normas de seguridad, los estándares y las políticas internas para garantizar que los equipos puedan implementar controles de seguridad de software y mejores prácticas de manera constante.
“El desarrollo de software a escala requiere una gobernanza sólida de la cadena de suministro de software y, a su vez, una gobernanza sólida requiere herramientas eficaces. Aquí es donde vimos una oportunidad para agregar valor”, dice Eylam Milner, directora de tecnología de argón, Aqua Security. “Queríamos utilizar nuestra experiencia en seguridad de la cadena de suministro de software para crear una guía esencial para uno de los desafíos más apremiantes de la industria y crear una herramienta gratuita y accesible para ayudar a otras empresas a cumplir. Pero el trabajo no se detiene allí. Continuaremos trabajando con CIS para perfeccionar esta guía para que las organizaciones de todo el mundo puedan beneficiarse de prácticas de seguridad más sólidas”.
Guía de seguridad de la CEI
"Con el lanzamiento de la Guía CIS para la seguridad de la cadena de suministro de software, CIS y Aqua Security esperan crear una comunidad vibrante interesada en el desarrollo de futuros estándares de referencia específicos de la plataforma", dijo Phil White, gerente del equipo de desarrollo de referencias en CIS. “Se alienta a todos los expertos en la materia que trabajan con las tecnologías y plataformas que componen la cadena de suministro de software a participar en el desarrollo de más puntos de referencia. Su experiencia será valiosa para establecer mejores prácticas clave que mejoren la seguridad de la cadena de suministro de software para todos”.
Más en Aquasec.com
Acerca de Aqua Security Aqua Security es el mayor proveedor de seguridad nativa pura en la nube. Aqua brinda a sus clientes la libertad de innovar y acelerar su transformación digital. Aqua Platform proporciona automatización de prevención, detección y respuesta a lo largo del ciclo de vida de la aplicación para proteger la cadena de suministro, la infraestructura de la nube y las cargas de trabajo en curso, independientemente de dónde se implementen.