Aqua Security s'associe au Center for Internet Security pour présenter le premier guide de sécurité dans la chaîne d'approvisionnement logicielle ; Chain-Bench est le premier outil open source permettant de valider la chaîne d'approvisionnement logicielle pour assurer la conformité avec ces nouvelles directives CIS
Aqua Security, le leader de la sécurité cloud native, et le Center for Internet Security (CIS), ont publié aujourd'hui les premières directives formelles du secteur pour la sécurité de la chaîne d'approvisionnement logicielle. CIS est une organisation indépendante à but non lucratif dédiée à créer plus de confiance dans le monde connecté. Le guide de sécurité de la chaîne d'approvisionnement du logiciel CIS, développé en collaboration entre les deux organisations, fournit plus de 100 recommandations essentielles qui peuvent être appliquées à une variété de technologies et de plates-formes couramment utilisées. En outre, Aqua a introduit Security Chain-Bench, le premier outil d'audit de la chaîne d'approvisionnement logicielle pour garantir la conformité aux nouvelles directives.
Meilleures pratiques en matière de sécurité dans la chaîne d'approvisionnement logicielle
Bien que les menaces pesant sur la chaîne d'approvisionnement logicielle continuent d'augmenter, de nombreuses études montrent que la sécurité dans les environnements de développement doit encore être améliorée. Les nouvelles directives du CIS établissent les meilleures pratiques générales qui prennent en charge les normes émergentes importantes telles que les niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) et le cadre de mise à jour (TUF). Dans le même temps, les directives fournissent des recommandations de base pour définir et tester les configurations sur les plateformes prises en charge par les benchmarks.
Dans le guide, les recommandations couvrent cinq catégories de la chaîne d'approvisionnement des logiciels. Cela inclut le code source, les pipelines de build, les dépendances, les artefacts et le déploiement. Le CIS a l'intention d'étendre ce guide pour inclure des références CIS plus spécifiques, créant des recommandations de sécurité cohérentes sur toutes les plates-formes. Comme pour toutes les directives de la CEI, ces directives seront publiées et révisées dans le monde entier. Les commentaires aideront ensuite à garantir que les futures directives spécifiques à la plate-forme sont exactes et pertinentes.
Chain Bench : outil de sécurité open source
Pour aider les entreprises à mettre en œuvre les directives CIS, Aqua Security a publié l'outil open source Chain-Bench. Chain-Bench analyse la pile DevOps du code source au déploiement et simplifie la conformité aux réglementations de sécurité, aux normes et aux politiques internes pour garantir que les équipes peuvent mettre en œuvre de manière cohérente les contrôles de sécurité logicielle et les meilleures pratiques.
« Le développement de logiciels à grande échelle nécessite une gouvernance solide de la chaîne d'approvisionnement logicielle, et une gouvernance solide nécessite à son tour des outils efficaces. C'est là que nous avons vu une opportunité d'ajouter de la valeur », déclare Eylam Milner, directeur Argon Technology, Aqua Security. « Nous voulions utiliser notre expertise en matière de sécurité de la chaîne d'approvisionnement logicielle pour créer un guide essentiel à l'un des défis les plus pressants de l'industrie et pour créer un outil gratuit et accessible pour aider d'autres entreprises à se mettre en conformité. Mais le travail ne s'arrête pas là. Nous continuerons à travailler avec CIS pour affiner ce guide afin que les organisations du monde entier puissent bénéficier de pratiques de sécurité renforcées.
Guide de sécurité CIS
"Avec la publication du Guide CIS sur la sécurité de la chaîne d'approvisionnement logicielle, CIS et Aqua Security espèrent créer une communauté dynamique intéressée par le développement de futures normes de référence spécifiques à la plate-forme", a déclaré Phil White, responsable de l'équipe de développement Benchmarks chez CIS. «Tous les experts en la matière travaillant avec les technologies et les plates-formes qui composent la chaîne d'approvisionnement logicielle sont encouragés à participer au développement d'autres référentiels. Leur expertise sera précieuse pour établir les meilleures pratiques clés qui améliorent la sécurité de la chaîne d'approvisionnement des logiciels pour tous.
Plus sur Aquasec.com
À propos d'Aqua Sécurité Aqua Security est le plus grand fournisseur de sécurité natif pur cloud. Aqua donne à ses clients la liberté d'innover et d'accélérer leur transformation numérique. La plate-forme Aqua fournit une automatisation de la prévention, de la détection et de la réponse tout au long du cycle de vie des applications pour sécuriser la chaîne d'approvisionnement, l'infrastructure cloud et les charges de travail en cours, quel que soit l'endroit où elles sont déployées.