Open-Source-Tool „Chain-Bench“ für mehr Sicherheit

Open-Source-Tool „Chain-Bench“ für mehr Sicherheit

Beitrag teilen

Aqua Security kooperiert mit dem Center for Internet Security und stellt den ersten Leitfaden für Sicherheit in der Software-Supply-Chain vor; Chain-Bench ist das erste Open-Source-Tool zur Überprüfung der Software-Supply-Chain, um die Einhaltung dieser neuen CIS-Richtlinien sicherzustellen

Aqua Security, der führende Anbieter von Cloud Native Security, und das Center for Internet Security (CIS), haben heute die ersten formalen Richtlinien der Branche für die Sicherheit der Software-Supply-Chain veröffentlicht. CIS ist eine unabhängige, gemeinnützige Organisation, die es sich zur Aufgabe gemacht hat, mehr Vertrauen in die vernetzte Welt zu schaffen. Der CIS Software Supply Chain Security Guide, der in Zusammenarbeit zwischen den beiden Organisationen entwickelt wurde, enthält mehr als 100 grundlegende Empfehlungen, die auf eine Vielzahl von häufig verwendeten Technologien und Plattformen angewendet werden können. Darüber hinaus stellte Aqua Security Chain-Bench vor, das erste Tool zur Prüfung der Software-Supply-Chain, um für die Einhaltung der neuen Richtlinien zu sorgen.

Anzeige

Best Practices für die Sicherheit der Software-Lieferkette

Obwohl die Bedrohungen für die Software-Supply-Chain weiter zunehmen, zeigen zahlreiche Studien, dass die Sicherheit in Entwicklungsumgebungen nach wie vor verbesserungswürdig ist. Die neuen Richtlinien des CIS legen allgemeine Best Practices fest, die wichtige neue Standards wie Supply-Chain-Levels for Software Artifacts (SLSA) und The Update Framework (TUF) unterstützen. Gleichzeitig geben die Richtlinien grundlegende Empfehlungen für die Festlegung und Prüfung von Konfigurationen auf den von den Benchmarks unterstützten Plattformen.

Innerhalb des Leitfadens umfassen die Empfehlungen fünf Kategorien der Software-Supply-Chain. Dazu zählen Quellcode, Build Pipelines, Abhängigkeiten, Artefakte und Bereitstellung. Das CIS beabsichtigt, diesen Leitfaden um spezifischere CIS-Benchmarks zu erweitern und so einheitliche Sicherheitsempfehlungen für alle Plattformen zu schaffen. Wie alle CIS-Anleitungen wird auch dieser Leitfaden weltweit veröffentlicht und geprüft werden. Rückmeldungen werden dann dazu beitragen, dass künftige plattformspezifische Anleitungen präzise und relevant sind.

Chain Bench: Open-Source-Tool für die Sicherheit

Um Unternehmen bei der Umsetzung der CIS-Richtlinien zu unterstützen, hat Aqua Security das Open-Source-Tool Chain-Bench veröffentlicht. Chain-Bench scannt den DevOps-Stack vom Quellcode bis zur Bereitstellung und vereinfacht die Einhaltung von Sicherheitsvorschriften, Standards und internen Richtlinien, um sicherzustellen, dass Teams Software-Sicherheitskontrollen und Best Practices konsequent umsetzen können.

„Die Entwicklung von Software in großem Maßstab erfordert eine starke Governance der Software-Supply-Chain, und eine starke Governance erfordert wiederum effektive Tools. Hier sahen wir eine Möglichkeit, Mehrwert zu schaffen“, sagt Eylam Milner, Director Argon Technology, Aqua Security. „Wir wollten unser Fachwissen im Bereich der Sicherheit der Software-Supply-Chain nutzen, um einen wichtigen Leitfaden für eine der dringlichsten Herausforderungen der Industrie zu erstellen und ein kostenloses, zugängliches Tool zu entwickeln, das anderen Unternehmen bei der Einhaltung der Richtlinien hilft. Doch die Arbeit hört hier nicht auf. Wir werden weiterhin mit CIS zusammenarbeiten, um diesen Leitfaden zu verfeinern, damit Unternehmen weltweit von stärkeren Sicherheitspraktiken profitieren können.“

CIS-Leitfaden zur Sicherheit

„Mit der Veröffentlichung des CIS-Leitfadens zur Sicherheit der Software-Supply-Chain hoffen CIS und Aqua Security, eine lebendige Gemeinschaft aufzubauen, die an der Entwicklung zukünftiger plattformspezifischer Benchmark-Standards interessiert ist“, so Phil White, Benchmarks Development Team Manager bei CIS. „Alle Fachexperten, die mit den Technologien und Plattformen arbeiten, aus denen sich die Software-Supply-Chain zusammensetzt, sind aufgerufen, sich an der Ausarbeitung weiterer Benchmarks zu beteiligen. Ihr Fachwissen wird wertvoll sein, um wichtige Best Practices zu etablieren, die die Sicherheit der Software-Lieferkette für alle verbessern.“

Mehr bei Aquasec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen