Open-Source-Tool „Chain-Bench“ für mehr Sicherheit

Open-Source-Tool „Chain-Bench“ für mehr Sicherheit

Beitrag teilen

Aqua Security kooperiert mit dem Center for Internet Security und stellt den ersten Leitfaden für Sicherheit in der Software-Supply-Chain vor; Chain-Bench ist das erste Open-Source-Tool zur Überprüfung der Software-Supply-Chain, um die Einhaltung dieser neuen CIS-Richtlinien sicherzustellen

Aqua Security, der führende Anbieter von Cloud Native Security, und das Center for Internet Security (CIS), haben heute die ersten formalen Richtlinien der Branche für die Sicherheit der Software-Supply-Chain veröffentlicht. CIS ist eine unabhängige, gemeinnützige Organisation, die es sich zur Aufgabe gemacht hat, mehr Vertrauen in die vernetzte Welt zu schaffen. Der CIS Software Supply Chain Security Guide, der in Zusammenarbeit zwischen den beiden Organisationen entwickelt wurde, enthält mehr als 100 grundlegende Empfehlungen, die auf eine Vielzahl von häufig verwendeten Technologien und Plattformen angewendet werden können. Darüber hinaus stellte Aqua Security Chain-Bench vor, das erste Tool zur Prüfung der Software-Supply-Chain, um für die Einhaltung der neuen Richtlinien zu sorgen.

Best Practices für die Sicherheit der Software-Lieferkette

Obwohl die Bedrohungen für die Software-Supply-Chain weiter zunehmen, zeigen zahlreiche Studien, dass die Sicherheit in Entwicklungsumgebungen nach wie vor verbesserungswürdig ist. Die neuen Richtlinien des CIS legen allgemeine Best Practices fest, die wichtige neue Standards wie Supply-Chain-Levels for Software Artifacts (SLSA) und The Update Framework (TUF) unterstützen. Gleichzeitig geben die Richtlinien grundlegende Empfehlungen für die Festlegung und Prüfung von Konfigurationen auf den von den Benchmarks unterstützten Plattformen.

Innerhalb des Leitfadens umfassen die Empfehlungen fünf Kategorien der Software-Supply-Chain. Dazu zählen Quellcode, Build Pipelines, Abhängigkeiten, Artefakte und Bereitstellung. Das CIS beabsichtigt, diesen Leitfaden um spezifischere CIS-Benchmarks zu erweitern und so einheitliche Sicherheitsempfehlungen für alle Plattformen zu schaffen. Wie alle CIS-Anleitungen wird auch dieser Leitfaden weltweit veröffentlicht und geprüft werden. Rückmeldungen werden dann dazu beitragen, dass künftige plattformspezifische Anleitungen präzise und relevant sind.

Chain Bench: Open-Source-Tool für die Sicherheit

Um Unternehmen bei der Umsetzung der CIS-Richtlinien zu unterstützen, hat Aqua Security das Open-Source-Tool Chain-Bench veröffentlicht. Chain-Bench scannt den DevOps-Stack vom Quellcode bis zur Bereitstellung und vereinfacht die Einhaltung von Sicherheitsvorschriften, Standards und internen Richtlinien, um sicherzustellen, dass Teams Software-Sicherheitskontrollen und Best Practices konsequent umsetzen können.

„Die Entwicklung von Software in großem Maßstab erfordert eine starke Governance der Software-Supply-Chain, und eine starke Governance erfordert wiederum effektive Tools. Hier sahen wir eine Möglichkeit, Mehrwert zu schaffen“, sagt Eylam Milner, Director Argon Technology, Aqua Security. „Wir wollten unser Fachwissen im Bereich der Sicherheit der Software-Supply-Chain nutzen, um einen wichtigen Leitfaden für eine der dringlichsten Herausforderungen der Industrie zu erstellen und ein kostenloses, zugängliches Tool zu entwickeln, das anderen Unternehmen bei der Einhaltung der Richtlinien hilft. Doch die Arbeit hört hier nicht auf. Wir werden weiterhin mit CIS zusammenarbeiten, um diesen Leitfaden zu verfeinern, damit Unternehmen weltweit von stärkeren Sicherheitspraktiken profitieren können.“

CIS-Leitfaden zur Sicherheit

„Mit der Veröffentlichung des CIS-Leitfadens zur Sicherheit der Software-Supply-Chain hoffen CIS und Aqua Security, eine lebendige Gemeinschaft aufzubauen, die an der Entwicklung zukünftiger plattformspezifischer Benchmark-Standards interessiert ist“, so Phil White, Benchmarks Development Team Manager bei CIS. „Alle Fachexperten, die mit den Technologien und Plattformen arbeiten, aus denen sich die Software-Supply-Chain zusammensetzt, sind aufgerufen, sich an der Ausarbeitung weiterer Benchmarks zu beteiligen. Ihr Fachwissen wird wertvoll sein, um wichtige Best Practices zu etablieren, die die Sicherheit der Software-Lieferkette für alle verbessern.“

Mehr bei Aquasec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen

Cloud Sicherheit: Das ist 2024 wichtig

Einschneidende Ereignisse wie die Pandemie oder Kriege hatten die Fachkundigen in der Vergangenheit nicht auf dem Schirm. Ein Experte für ➡ Weiterlesen

Tipps für die Umsetzung der Richtlinie NIS2

Der richtige Einsatz von Cyber Security ist inzwischen wichtiger denn je. Aufgrund der zunehmenden Bedrohungen wächst das Angriffsrisiko stetig. Das ➡ Weiterlesen

Security Cloud Enterprise Edition als Managed Service

„Cyber Resilience as a Service“ ermöglicht Unternehmen jeder Größe beim MSP SVA Rubriks Portfolio für mehr Datensicherheit zu beziehen. Rubrik ➡ Weiterlesen

Unveränderlicher Speicher schützt vor Attacken

Eine Umfrage unter Cybersecurity-Experten aus Unternehmen mit mehr als 1.000 Mitarbeitern bestätigt, dass mit 46 Prozent fast die Hälfte der ➡ Weiterlesen

Globale Bedrohungen: Datenschutz für lokale Daten

Ransomware-Angriffe, Data Stealer-Attacken, Exploits für Schwachstellen: Auch wenn die Attacken global ablaufen, so zielen sie doch auf eine lokale, teile ➡ Weiterlesen

Fünf Cyberabwehrstrategien

In den vergangenen zwei Jahren ist es Angreifern gelungen, in die Systeme von 78 Prozent der deutschen Unternehmen einzudringen. Das ➡ Weiterlesen