Aqua Security, Center for Internet Security ile Yazılım Tedarik Zincirinde İlk Güvenlik Kılavuzunu Tanıtacak; Chain-Bench, bu yeni CIS yönergelerine uygunluğu sağlamak için yazılım tedarik zincirini doğrulayan ilk açık kaynak aracıdır.
Bulut yerel güvenliğinde lider olan Aqua Security ve İnternet Güvenliği Merkezi (CIS), bugün sektörün yazılım tedarik zinciri güvenliği için ilk resmi kılavuzunu yayınladı. CIS, bağlantılı dünyada daha fazla güven oluşturmaya kendini adamış, bağımsız, kar amacı gütmeyen bir kuruluştur. İki kuruluş arasındaki işbirliğiyle geliştirilen CIS Yazılım Tedarik Zinciri Güvenlik Kılavuzu, yaygın olarak kullanılan çeşitli teknolojilere ve platformlara uygulanabilecek 100'den fazla temel öneri sağlar. Ayrıca Aqua, yeni yönergelere uygunluğu sağlamak için yazılım tedarik zincirini denetleyen ilk araç olan Security Chain-Bench'i tanıttı.
Yazılım tedarik zincirinde güvenlik için en iyi uygulamalar
Yazılım tedarik zincirine yönelik tehditler artmaya devam etse de, çok sayıda çalışma, geliştirme ortamlarındaki güvenliğin hala iyileştirilmesi gerektiğini göstermektedir. CIS'in yeni yönergeleri, Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) ve Güncelleme Çerçevesi (TUF) gibi yeni ortaya çıkan önemli standartları destekleyen genel en iyi uygulamaları belirler. Kılavuzlar aynı zamanda, kıyaslamalarla desteklenen platformlarda yapılandırmaların tanımlanması ve test edilmesi için temel öneriler sunar.
Kılavuzdaki öneriler, yazılım tedarik zincirinin beş kategorisini kapsar. Buna kaynak kodu, derleme ardışık düzenleri, bağımlılıklar, yapıtlar ve devreye alma dahildir. CIS, bu kılavuzu daha spesifik CIS kıyaslamalarını içerecek şekilde genişletmeyi ve platformlar arasında tutarlı güvenlik önerileri oluşturmayı amaçlamaktadır. Tüm CIS kılavuzlarında olduğu gibi, bu kılavuz dünya çapında yayınlanacak ve gözden geçirilecektir. Geri bildirim, gelecekteki platforma özgü rehberliğin doğru ve alakalı olmasını sağlamaya yardımcı olacaktır.
Chain Bench: Açık kaynaklı güvenlik aracı
Şirketlerin CIS yönergelerini uygulamalarına yardımcı olmak için Aqua Security, açık kaynak aracı Chain-Bench'i piyasaya sürdü. Chain-Bench, DevOps yığınını kaynak kodundan dağıtıma kadar tarar ve ekiplerin yazılım güvenlik kontrollerini ve en iyi uygulamaları tutarlı bir şekilde uygulayabilmesini sağlamak için güvenlik düzenlemeleri, standartları ve dahili politikalarla uyumluluğu basitleştirir.
“Ölçekte yazılım geliştirmek, yazılım tedarik zincirinin güçlü yönetişimini gerektirir ve güçlü yönetişim de etkili araçlar gerektirir. Aqua Security Argon Technology Direktörü Eylam Milner, "İşte değer katmak için bir fırsat gördüğümüz yer burasıdır" diyor. “Sektörün en acil sorunlarından biri için temel bir kılavuz oluşturmak ve diğer şirketlerin uyumlu hale gelmesine yardımcı olacak ücretsiz, erişilebilir bir araç oluşturmak için yazılım tedarik zinciri güvenliği konusundaki uzmanlığımızı kullanmak istedik. Ancak iş burada bitmiyor. Dünyanın dört bir yanındaki kuruluşların daha güçlü güvenlik uygulamalarından yararlanabilmesi için bu kılavuzu iyileştirmek üzere CIS ile birlikte çalışmaya devam edeceğiz.”
CIS Güvenlik Rehberi
CIS Kıyaslama Geliştirme Ekibi Yöneticisi Phil White, "CIS Yazılım Tedarik Zinciri Güvenliği Kılavuzu'nun yayınlanmasıyla birlikte, CIS ve Aqua Security, gelecekteki platforma özel kıyaslama standartlarının geliştirilmesiyle ilgilenen canlı bir topluluk yaratmayı umuyor" dedi. “Yazılım tedarik zincirini oluşturan teknolojiler ve platformlarla çalışan tüm konu uzmanları, daha fazla karşılaştırmalı değerlendirme geliştirme sürecine katılmaya teşvik ediliyor. Uzmanlıkları, herkes için yazılım tedarik zinciri güvenliğini iyileştiren en iyi uygulamaları belirlemede değerli olacaktır.”
Aquasec.com'da daha fazlası
Aqua Güvenlik Hakkında Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.