Aqua Security collabora con il Center for Internet Security per presentare la prima guida alla sicurezza nella catena di fornitura del software; Chain-Bench è il primo strumento open source per convalidare la catena di fornitura del software per garantire la conformità a queste nuove linee guida CIS
Aqua Security, leader nella sicurezza nativa del cloud, e il Center for Internet Security (CIS), hanno pubblicato oggi le prime linee guida formali del settore per la sicurezza della supply chain del software. CIS è un'organizzazione indipendente senza scopo di lucro dedicata a creare più fiducia nel mondo connesso. La CIS Software Supply Chain Security Guide, sviluppata in collaborazione tra le due organizzazioni, fornisce più di 100 raccomandazioni essenziali che possono essere applicate a una varietà di tecnologie e piattaforme di uso comune. Inoltre, Aqua ha introdotto Security Chain-Bench, il primo strumento per controllare la catena di fornitura del software per garantire la conformità alle nuove linee guida.
Best practice per la sicurezza nella catena di fornitura del software
Sebbene le minacce alla catena di fornitura del software continuino ad aumentare, numerosi studi dimostrano che la sicurezza negli ambienti di sviluppo deve ancora essere migliorata. Le nuove linee guida del CIS stabiliscono le migliori pratiche generali che supportano importanti standard emergenti come Supply Chain Levels for Software Artifacts (SLSA) e The Update Framework (TUF). Allo stesso tempo, le linee guida forniscono raccomandazioni di base per definire e testare le configurazioni sulle piattaforme supportate dai benchmark.
All'interno della guida, le raccomandazioni coprono cinque categorie della catena di fornitura del software. Ciò include codice sorgente, pipeline di compilazione, dipendenze, artefatti e distribuzione. Il CIS intende espandere questa guida per includere benchmark CIS più specifici, creando raccomandazioni di sicurezza coerenti tra le piattaforme. Come per tutte le linee guida CIS, questa guida sarà pubblicata e rivista in tutto il mondo. Il feedback contribuirà quindi a garantire che le future linee guida specifiche per la piattaforma siano accurate e pertinenti.
Chain Bench: strumento di sicurezza open source
Per aiutare le aziende a implementare le linee guida CIS, Aqua Security ha rilasciato lo strumento open source Chain-Bench. Chain-Bench esegue la scansione dello stack DevOps dal codice sorgente alla distribuzione e semplifica la conformità alle normative, agli standard e alle policy interne di sicurezza per garantire che i team possano implementare in modo coerente i controlli di sicurezza del software e le best practice.
“Lo sviluppo di software su larga scala richiede una governance forte della supply chain del software e una governance forte, a sua volta, richiede strumenti efficaci. È qui che abbiamo visto un'opportunità per aggiungere valore", afferma Eylam Milner, Director Argon Technology, Aqua Security. “Volevamo utilizzare la nostra esperienza nella sicurezza della supply chain del software per creare una guida essenziale a una delle sfide più urgenti del settore e per creare uno strumento gratuito e accessibile per aiutare altre aziende a diventare conformi. Ma il lavoro non si ferma qui. Continueremo a lavorare con CIS per perfezionare questa guida in modo che le organizzazioni di tutto il mondo possano beneficiare di pratiche di sicurezza più solide".
Guida alla sicurezza CIS
"Con il rilascio della Guida CIS alla sicurezza della catena di fornitura del software, CIS e Aqua Security sperano di creare una vivace comunità interessata allo sviluppo di futuri standard di benchmark specifici per piattaforma", ha affermato Phil White, Benchmarks Development Team Manager presso CIS. “Tutti gli esperti in materia che lavorano con le tecnologie e le piattaforme che compongono la catena di fornitura del software sono incoraggiati a partecipare allo sviluppo di ulteriori benchmark. La loro esperienza sarà preziosa per stabilire le migliori pratiche chiave che migliorano la sicurezza della catena di fornitura del software per tutti".
Altro su Aquasec.com
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.