تأكد من أن لديك ما هو مطلوب للالتزام بمتطلبات النموذج
إن اعتماد أفضل الممارسات الخاصة بأمن سلسلة توريد البرمجيات يمر حاليًا بلحظة فاصلة مماثلة لنشر متطلبات الامتثال لمعايير PCI في عام 2006. وكما كان الحال في ذلك الوقت، تضيف اللائحة الجديدة متطلبات مهمة من قيادة الشركة، في هذه الحالة، للشهادة على أمن برامجهم والوسائل الدقيقة المستخدمة لتحقيق ذلك.
يعد نموذج شهادة تطوير البرمجيات الآمنة المقترح، على الرغم من أنه لا يزال في نسخة مسودة نهائية، التي قدمتها DHS – CISA بناءً على متطلبات مذكرة M-23-16 الخاصة بمكتب الإدارة والميزانية وما سبقها في مذكرة M-22-18، بمثابة التزام له أهمية كبيرة الالتزامات المصاحبة له. ويتطلب توقيع قيادة الشركة والتأكد من مطابقتها لمتطلبات النموذج. هناك توقع صريح بأن يكون هذا الشخص/الأشخاص قادرين على دعم توقيعهم بالأدلة المناسبة في حالة حدوث هجوم على سلسلة توريد البرامج.
تغطي البنود الأربعة للنموذج مجموعة واسعة من المتطلبات ولكنها لا تقدم أي إرشادات حول كيفية الامتثال. إن التنوع الكبير في مجموعات التكنولوجيا والبيئات السحابية وأدوات CI/CD والتكوينات الموجودة في الصناعة يجعل من الصعب جمع كل الأدلة المتنوعة المطلوبة في النموذج.
بالإضافة إلى ذلك، هناك مسألة توقيت التحقق. وما لم تقم الشركة بجمع الأدلة بشكل مستمر، فلن يكون هناك الكثير مما يمكنها فعله لإثبات أنها كانت تتبع أفضل الممارسات الموقعة.
إن جمع الأدلة بشكل تلقائي ومستمر بطريقة موثوقة والتحقق المستمر من سياسات SDLC التي حددتها الشركة ووقعت عليها هو الطريقة الصحيحة لإثبات اتباع متطلبات النموذج.
احصل على هذه الورقة البيضاء لاستكشاف كيف يمكن أن يساعدك Scribe في جمع الأدلة وتوقيعها تلقائيًا كدليل لبناء الثقة في البرامج.
ننصحك بما يجب أن يكون جزءًا من الأدلة المطلوبة، بما في ذلك ملفات السجل ولقطات الشاشة وملفات التكوين وما إلى ذلك. نحن نعرف كيفية جمع الأدلة من أدوات الطرف الثالث وإدراجها مع بقية الأدلة الخاصة بـ SDLC وبناء خطوط الأنابيب. نحن نساعد في أخذ هذه الأدلة وتحويلها إلى شهادات غير قابلة للدحض وغير قابلة للتغيير ويتم حفظها في متجر آمن.
يمكن أن تكون هذه الأدلة بمثابة شهادات صالحة للامتثال لـ SLSA أو SSDF. يمكن لكل شركة تخصيص سياساتها الخاصة بناءً على نموذج التحقق من التوقيع.
تشتمل منصة Scribe على جميع الأدلة التي تم جمعها في شكل مقطعي وسهل الاستعلام عنه. يمكن للمرء فحص طريقة عرض SBOM المجمعة لجميع الإصدارات والمنتجات، وتقرير كامل عن المكونات القديمة، وتقرير شامل عن نقاط الضعف (يتضمن نتيجة CVSS و احتمال EPSS)، وتقرير سمعة المكتبة بناءً على بطاقة قياس أداء OpenSSF مشروع.
