Aqua Security kooperiert mit dem Center for Internet Security und stellt den ersten Leitfaden für Sicherheit in der Software-Supply-Chain vor; Chain-Bench ist das erste Open-Source-Tool zur Überprüfung der Software-Supply-Chain, um die Einhaltung dieser neuen CIS-Richtlinien sicherzustellen
Aqua Security, der führende Anbieter von Cloud Native Security, und das Center for Internet Security (CIS), haben heute die ersten formalen Richtlinien der Branche für die Sicherheit der Software-Supply-Chain veröffentlicht. CIS ist eine unabhängige, gemeinnützige Organisation, die es sich zur Aufgabe gemacht hat, mehr Vertrauen in die vernetzte Welt zu schaffen. Der CIS Software Supply Chain Security Guide, der in Zusammenarbeit zwischen den beiden Organisationen entwickelt wurde, enthält mehr als 100 grundlegende Empfehlungen, die auf eine Vielzahl von häufig verwendeten Technologien und Plattformen angewendet werden können. Darüber hinaus stellte Aqua Security Chain-Bench vor, das erste Tool zur Prüfung der Software-Supply-Chain, um für die Einhaltung der neuen Richtlinien zu sorgen.
Best Practices für die Sicherheit der Software-Lieferkette
Obwohl die Bedrohungen für die Software-Supply-Chain weiter zunehmen, zeigen zahlreiche Studien, dass die Sicherheit in Entwicklungsumgebungen nach wie vor verbesserungswürdig ist. Die neuen Richtlinien des CIS legen allgemeine Best Practices fest, die wichtige neue Standards wie Supply-Chain-Levels for Software Artifacts (SLSA) und The Update Framework (TUF) unterstützen. Gleichzeitig geben die Richtlinien grundlegende Empfehlungen für die Festlegung und Prüfung von Konfigurationen auf den von den Benchmarks unterstützten Plattformen.
Innerhalb des Leitfadens umfassen die Empfehlungen fünf Kategorien der Software-Supply-Chain. Dazu zählen Quellcode, Build Pipelines, Abhängigkeiten, Artefakte und Bereitstellung. Das CIS beabsichtigt, diesen Leitfaden um spezifischere CIS-Benchmarks zu erweitern und so einheitliche Sicherheitsempfehlungen für alle Plattformen zu schaffen. Wie alle CIS-Anleitungen wird auch dieser Leitfaden weltweit veröffentlicht und geprüft werden. Rückmeldungen werden dann dazu beitragen, dass künftige plattformspezifische Anleitungen präzise und relevant sind.
Chain Bench: Open-Source-Tool für die Sicherheit
Um Unternehmen bei der Umsetzung der CIS-Richtlinien zu unterstützen, hat Aqua Security das Open-Source-Tool Chain-Bench veröffentlicht. Chain-Bench scannt den DevOps-Stack vom Quellcode bis zur Bereitstellung und vereinfacht die Einhaltung von Sicherheitsvorschriften, Standards und internen Richtlinien, um sicherzustellen, dass Teams Software-Sicherheitskontrollen und Best Practices konsequent umsetzen können.
„Die Entwicklung von Software in großem Maßstab erfordert eine starke Governance der Software-Supply-Chain, und eine starke Governance erfordert wiederum effektive Tools. Hier sahen wir eine Möglichkeit, Mehrwert zu schaffen“, sagt Eylam Milner, Director Argon Technology, Aqua Security. „Wir wollten unser Fachwissen im Bereich der Sicherheit der Software-Supply-Chain nutzen, um einen wichtigen Leitfaden für eine der dringlichsten Herausforderungen der Industrie zu erstellen und ein kostenloses, zugängliches Tool zu entwickeln, das anderen Unternehmen bei der Einhaltung der Richtlinien hilft. Doch die Arbeit hört hier nicht auf. Wir werden weiterhin mit CIS zusammenarbeiten, um diesen Leitfaden zu verfeinern, damit Unternehmen weltweit von stärkeren Sicherheitspraktiken profitieren können.“
CIS-Leitfaden zur Sicherheit
„Mit der Veröffentlichung des CIS-Leitfadens zur Sicherheit der Software-Supply-Chain hoffen CIS und Aqua Security, eine lebendige Gemeinschaft aufzubauen, die an der Entwicklung zukünftiger plattformspezifischer Benchmark-Standards interessiert ist“, so Phil White, Benchmarks Development Team Manager bei CIS. „Alle Fachexperten, die mit den Technologien und Plattformen arbeiten, aus denen sich die Software-Supply-Chain zusammensetzt, sind aufgerufen, sich an der Ausarbeitung weiterer Benchmarks zu beteiligen. Ihr Fachwissen wird wertvoll sein, um wichtige Best Practices zu etablieren, die die Sicherheit der Software-Lieferkette für alle verbessern.“
Mehr bei Aquasec.com
Über Aqua Security Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.