Aqua Security співпрацює з Центром безпеки в Інтернеті, щоб представити Перший посібник із безпеки в ланцюжку постачання програмного забезпечення; Chain-Bench — це перший інструмент із відкритим вихідним кодом для перевірки ланцюга постачання програмного забезпечення на відповідність цим новим інструкціям CIS
Компанія Aqua Security, лідер у галузі вбудованої безпеки в хмарі, і Центр безпеки в Інтернеті (CIS) опублікували перші в галузі офіційні рекомендації щодо безпеки ланцюга поставок програмного забезпечення. CIS — це незалежна некомерційна організація, яка прагне створити більше довіри в світі зв’язку. Посібник з безпеки ланцюга постачання програмного забезпечення CIS, розроблений у співпраці між двома організаціями, містить понад 100 важливих рекомендацій, які можна застосувати до різноманітних широко використовуваних технологій і платформ. Крім того, Aqua представила Security Chain-Bench, перший інструмент для перевірки ланцюга постачання програмного забезпечення на відповідність новим інструкціям.
Найкращі практики безпеки в ланцюжку постачання програмного забезпечення
Хоча загрози для ланцюга постачання програмного забезпечення продовжують зростати, численні дослідження показують, що безпека в середовищах розробки все ще потребує вдосконалення. Нові рекомендації CIS встановлюють загальні найкращі практики, які підтримують такі важливі нові стандарти, як Supply Chain Levels for Software Artifacts (SLSA) і The Update Framework (TUF). Водночас рекомендації надають основні рекомендації щодо визначення та тестування конфігурацій на платформах, які підтримуються тестами.
У посібнику рекомендації охоплюють п’ять категорій ланцюжка постачання програмного забезпечення. Це включає вихідний код, конвеєри збірки, залежності, артефакти та розгортання. CIS має намір розширити цей посібник, включивши в нього більш конкретні контрольні показники CIS, створивши послідовні рекомендації безпеки для всіх платформ. Як і всі настанови СНД, ці настанови будуть опубліковані та переглянуті в усьому світі. Зворотній зв’язок тоді допоможе переконатися, що майбутні вказівки для конкретної платформи будуть точними та актуальними.
Chain Bench: інструмент безпеки з відкритим кодом
Щоб допомогти компаніям упровадити рекомендації СНД, Aqua Security випустила інструмент із відкритим кодом Chain-Bench. Chain-Bench сканує стек DevOps від вихідного коду до розгортання та спрощує дотримання правил безпеки, стандартів і внутрішньої політики, щоб команди могли послідовно застосовувати засоби контролю безпеки програмного забезпечення та найкращі практики.
«Масштабна розробка програмного забезпечення вимагає чіткого управління ланцюгом постачання програмного забезпечення, а сильне управління, у свою чергу, вимагає ефективних інструментів. Саме тут ми побачили можливість збільшити цінність», — каже Ейлам Мілнер, директор Argon Technology, Aqua Security. «Ми хотіли використати наш досвід у сфері безпеки ланцюга постачання програмного забезпечення, щоб створити важливий посібник для вирішення однієї з найактуальніших проблем галузі та створити безкоштовний доступний інструмент, який допоможе іншим компаніям досягти відповідності вимогам. Але на цьому робота не припиняється. Ми продовжуватимемо працювати з CIS, щоб удосконалити цей посібник, щоб організації в усьому світі могли отримати вигоду від ефективнішої практики безпеки».
Керівництво з безпеки СНД
«Завдяки випуску Посібника CIS з безпеки ланцюга постачання програмного забезпечення CIS і Aqua Security сподіваються створити активну спільноту, зацікавлену в розробці майбутніх стандартів тестування для певної платформи», — сказав Філ Уайт, менеджер групи розробки тестів CIS. «Заохочуємо всіх експертів у галузі, які працюють із технологіями та платформами, які складають ланцюжок постачання програмного забезпечення, брати участь у розробці подальших тестів. Їхній досвід буде цінним у створенні ключових найкращих практик, які покращать безпеку ланцюжка постачання програмного забезпечення для всіх».
Більше на Aquasec.com
Про Aqua Security Aqua Security є найбільшим постачальником нативної безпеки в чистій хмарі. Aqua дає своїм клієнтам свободу впроваджувати інновації та прискорювати свою цифрову трансформацію. Платформа Aqua Platform забезпечує запобігання, виявлення та автоматизацію реагування протягом життєвого циклу додатків, щоб захистити ланцюжок поставок, хмарну інфраструктуру та поточні робочі навантаження — незалежно від того, де вони розгорнуті.