Aqua Security faz parceria com o Center for Internet Security para apresentar o primeiro guia de segurança na cadeia de suprimentos de software; Chain-Bench é a primeira ferramenta de código aberto para validar a cadeia de suprimentos de software para garantir a conformidade com essas novas diretrizes CIS
A Aqua Security, líder em segurança nativa da nuvem, e o Center for Internet Security (CIS), lançaram hoje as primeiras diretrizes formais do setor para segurança da cadeia de suprimentos de software. A CIS é uma organização independente sem fins lucrativos dedicada a criar mais confiança no mundo conectado. O Guia de Segurança da Cadeia de Fornecimento de Software CIS, desenvolvido em colaboração entre as duas organizações, fornece mais de 100 recomendações essenciais que podem ser aplicadas a uma variedade de tecnologias e plataformas comumente usadas. Além disso, a Aqua introduziu o Security Chain-Bench, a primeira ferramenta para auditar a cadeia de fornecimento de software para garantir a conformidade com as novas diretrizes.
As melhores práticas de segurança na cadeia de suprimentos de software
Embora as ameaças à cadeia de suprimentos de software continuem a aumentar, vários estudos mostram que a segurança em ambientes de desenvolvimento ainda precisa ser aprimorada. As novas diretrizes do CIS estabelecem práticas recomendadas gerais que oferecem suporte a importantes padrões emergentes, como Níveis da Cadeia de Suprimentos para Artefatos de Software (SLSA) e The Update Framework (TUF). Ao mesmo tempo, as diretrizes fornecem recomendações básicas para definir e testar configurações nas plataformas suportadas pelos benchmarks.
Dentro do guia, as recomendações abrangem cinco categorias da cadeia de suprimentos de software. Isso inclui código-fonte, pipelines de construção, dependências, artefatos e implantação. O CIS pretende expandir este guia para incluir benchmarks CIS mais específicos, criando recomendações de segurança consistentes em todas as plataformas. Assim como todas as orientações do CIS, estas orientações serão publicadas e revisadas em todo o mundo. O feedback ajudará a garantir que a futura orientação específica da plataforma seja precisa e relevante.
Chain Bench: ferramenta de segurança de código aberto
Para ajudar as empresas a implementar as diretrizes do CIS, a Aqua Security lançou a ferramenta de código aberto Chain-Bench. O Chain-Bench verifica a pilha de DevOps desde o código-fonte até a implantação e simplifica a conformidade com regulamentos de segurança, padrões e políticas internas para garantir que as equipes possam implementar consistentemente controles de segurança de software e melhores práticas.
“Desenvolver software em escala requer uma forte governança da cadeia de suprimentos de software e, por sua vez, uma forte governança requer ferramentas eficazes. Foi aí que vimos uma oportunidade de agregar valor”, diz Eylam Milner, diretor da Argon Technology, Aqua Security. “Queríamos usar nossa experiência em segurança da cadeia de suprimentos de software para criar um guia essencial para um dos desafios mais prementes do setor e criar uma ferramenta gratuita e acessível para ajudar outras empresas a se tornarem compatíveis. Mas o trabalho não para por aqui. Continuaremos a trabalhar com a CIS para refinar este guia para que organizações de todo o mundo possam se beneficiar de práticas de segurança mais fortes.”
Guia de Segurança CIS
"Com o lançamento do Guia CIS para Segurança da Cadeia de Suprimentos de Software, a CIS e a Aqua Security esperam criar uma comunidade vibrante interessada no desenvolvimento de futuros padrões de benchmark específicos da plataforma", disse Phil White, gerente da equipe de desenvolvimento de benchmarks da CIS. “Todos os especialistas no assunto que trabalham com as tecnologias e plataformas que compõem a cadeia de suprimentos de software são incentivados a participar do desenvolvimento de outros benchmarks. Sua experiência será valiosa para estabelecer as principais práticas recomendadas que melhoram a segurança da cadeia de suprimentos de software para todos.”
Mais em Aquasec.com
Sobre a Aqua Security Aqua Security é o maior provedor de segurança nativa de nuvem pura. A Aqua oferece a seus clientes a liberdade de inovar e acelerar sua transformação digital. A Aqua Platform fornece automação de prevenção, detecção e resposta em todo o ciclo de vida do aplicativo para proteger a cadeia de suprimentos, a infraestrutura de nuvem e as cargas de trabalho contínuas, independentemente de onde são implantados.