एक्वा सिक्योरिटी ने सॉफ्टवेयर आपूर्ति श्रृंखला में सुरक्षा के लिए पहली गाइड पेश करने के लिए सेंटर फॉर इंटरनेट सिक्योरिटी के साथ साझेदारी की; चेन-बेंच इन नए सीआईएस दिशानिर्देशों का अनुपालन सुनिश्चित करने के लिए सॉफ्टवेयर आपूर्ति श्रृंखला को मान्य करने वाला पहला ओपन सोर्स टूल है
क्लाउड नेटिव सुरक्षा में अग्रणी एक्वा सिक्योरिटी और सेंटर फॉर इंटरनेट सिक्योरिटी (सीआईएस) ने आज सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए उद्योग के पहले औपचारिक दिशानिर्देश जारी किए। सीआईएस एक स्वतंत्र, गैर-लाभकारी संगठन है जो कनेक्टेड दुनिया में अधिक विश्वास पैदा करने के लिए समर्पित है। सीआईएस सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा गाइड, दो संगठनों के बीच सहयोग से विकसित, 100 से अधिक आवश्यक सिफारिशें प्रदान करता है जिन्हें विभिन्न प्रकार की आमतौर पर इस्तेमाल की जाने वाली तकनीकों और प्लेटफार्मों पर लागू किया जा सकता है। इसके अलावा, एक्वा ने सिक्योरिटी चेन-बेंच की शुरुआत की, जो नए दिशानिर्देशों का अनुपालन सुनिश्चित करने के लिए सॉफ्टवेयर सप्लाई चेन का ऑडिट करने वाला पहला टूल है।
सॉफ़्टवेयर आपूर्ति श्रृंखला में सुरक्षा के लिए सर्वोत्तम अभ्यास
हालाँकि सॉफ्टवेयर आपूर्ति श्रृंखला के लिए खतरे लगातार बढ़ रहे हैं, कई अध्ययनों से पता चलता है कि विकास के वातावरण में सुरक्षा में अभी भी सुधार की आवश्यकता है। CIS के नए दिशानिर्देश सामान्य सर्वोत्तम प्रथाओं को स्थापित करते हैं जो सॉफ्टवेयर आर्टिफैक्ट्स (SLSA) और अपडेट फ्रेमवर्क (TUF) के लिए आपूर्ति श्रृंखला स्तर जैसे महत्वपूर्ण उभरते मानकों का समर्थन करते हैं। साथ ही, बेंचमार्क द्वारा समर्थित प्लेटफॉर्म पर कॉन्फ़िगरेशन को परिभाषित करने और परीक्षण करने के लिए दिशानिर्देश बुनियादी सिफारिशें प्रदान करते हैं।
मार्गदर्शिका के अंतर्गत, अनुशंसाएँ सॉफ़्टवेयर आपूर्ति श्रृंखला की पाँच श्रेणियों को कवर करती हैं। इसमें सोर्स कोड, बिल्ड पाइपलाइन, डिपेंडेंसी, आर्टिफैक्ट और परिनियोजन शामिल हैं। CIS इस गाइड का विस्तार करने का इरादा रखता है ताकि अधिक विशिष्ट CIS बेंचमार्क शामिल किए जा सकें, जिससे प्लेटफ़ॉर्म पर लगातार सुरक्षा अनुशंसाएँ बनाई जा सकें। जैसा कि सभी सीआईएस मार्गदर्शनों के साथ होता है, यह मार्गदर्शन दुनिया भर में प्रकाशित और समीक्षा किया जाएगा। प्रतिक्रिया तब यह सुनिश्चित करने में मदद करेगी कि भविष्य के प्लेटफ़ॉर्म-विशिष्ट मार्गदर्शन सटीक और प्रासंगिक हैं।
चेन बेंच: ओपन सोर्स सिक्योरिटी टूल
सीआईएस दिशानिर्देशों को लागू करने में कंपनियों की मदद करने के लिए एक्वा सिक्योरिटी ने ओपन सोर्स टूल चेन-बेंच जारी किया है। चेन-बेंच स्रोत कोड से परिनियोजन तक DevOps स्टैक को स्कैन करता है और सुरक्षा नियमों, मानकों और आंतरिक नीतियों के अनुपालन को सरल करता है ताकि यह सुनिश्चित किया जा सके कि टीमें सॉफ़्टवेयर सुरक्षा नियंत्रण और सर्वोत्तम प्रथाओं को लगातार लागू कर सकें।
"बड़े पैमाने पर सॉफ्टवेयर विकसित करने के लिए सॉफ्टवेयर आपूर्ति श्रृंखला के मजबूत शासन की आवश्यकता होती है, और बदले में मजबूत शासन के लिए प्रभावी उपकरण की आवश्यकता होती है। यह वह जगह है जहां हमने मूल्य जोड़ने का अवसर देखा, ”एइलम मिलनर, डायरेक्टर आर्गन टेक्नोलॉजी, एक्वा सिक्योरिटी कहते हैं। “हम उद्योग की सबसे अधिक दबाव वाली चुनौतियों में से एक के लिए एक आवश्यक मार्गदर्शिका बनाने और अन्य कंपनियों को आज्ञाकारी बनने में मदद करने के लिए एक मुफ्त, सुलभ उपकरण बनाने के लिए सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा में अपनी विशेषज्ञता का उपयोग करना चाहते थे। लेकिन काम यहीं नहीं रुकता। हम इस गाइड को परिष्कृत करने के लिए CIS के साथ काम करना जारी रखेंगे ताकि दुनिया भर के संगठन मजबूत सुरक्षा प्रथाओं से लाभान्वित हो सकें।"
सीआईएस सुरक्षा गाइड
सीआईएस में बेंचमार्क डेवलपमेंट टीम मैनेजर फिल व्हाइट ने कहा, "साफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के लिए सीआईएस गाइड की रिलीज के साथ, सीआईएस और एक्वा सिक्योरिटी भविष्य के प्लेटफॉर्म-विशिष्ट बेंचमार्क मानकों के विकास में रुचि रखने वाले एक जीवंत समुदाय बनाने की उम्मीद करते हैं।" "सॉफ्टवेयर आपूर्ति श्रृंखला बनाने वाली प्रौद्योगिकियों और प्लेटफार्मों के साथ काम करने वाले सभी विषय विशेषज्ञों को आगे के बेंचमार्क के विकास में भाग लेने के लिए प्रोत्साहित किया जाता है। सभी के लिए सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा में सुधार करने वाली प्रमुख सर्वोत्तम प्रथाओं को स्थापित करने में उनकी विशेषज्ञता मूल्यवान होगी।
Aquasec.com पर अधिक
एक्वा सुरक्षा के बारे में एक्वा सिक्योरिटी सबसे बड़ा प्योर क्लाउड नेटिव सुरक्षा प्रदाता है। एक्वा अपने ग्राहकों को अपने डिजिटल परिवर्तन को नया करने और तेज करने की स्वतंत्रता देता है। एक्वा प्लेटफॉर्म आपूर्ति श्रृंखला, क्लाउड इंफ्रास्ट्रक्चर और चल रहे वर्कलोड को सुरक्षित करने के लिए एप्लिकेशन लाइफसाइकिल में रोकथाम, पहचान और प्रतिक्रिया स्वचालन प्रदान करता है-चाहे वे कहीं भी तैनात हों।