في السنوات الأخيرة، تسببت هجمات سلسلة توريد البرمجيات البارزة في أضرار جسيمة للمنظمات، مما دفع الحكومة الأمريكية إلى الضغط من أجل وضع لوائح ومعايير سيبرانية جديدة. وقد أدى هذا إلى تطوير أطر عمل رئيسية مثل SLSA وSSDF، إلى جانب قانون تفويض FedRAMP الذي أصبح النهج الرسمي لأمن الحوسبة السحابية في معالجة المعلومات الفيدرالية.
تعالج هذه الأطر أمن البرمجيات بشكل شامل من خلال إدارة الثغرات الأمنية، وسلامة التعليمات البرمجية، والتحقق من المصدر، والاستجابة للحوادث، وعمليات SDLC الآمنة. ورغم أن تنفيذها قد يكون صعبًا، وخاصة بالنسبة للمؤسسات ذات الموارد المحدودة، فستجد معلومات مفصلة حول كل إطار ومتطلباته المحددة أثناء التمرير لأسفل هذه الصفحة.
تعمل منصة Scribe بمثابة ملاذ آمن لمنتجي البرمجيات. فهو يتيح الامتثال السهل لأطر عمل SLSA وSSDF، حتى مع الموارد المحدودة
يمكّن Scribe العملاء من الامتثال لـ إطار SSDF وSLSA من خلال تعزيز الشفافية من خلال مركز قائم على الأدلة يضمن عدم التلاعب بالبرنامج.
احصل على ملخص الحل
الامتثال لـ NIST SP 800-218 (SSDF)
يهدف SSDF إلى تقليل حجم وتأثير الثغرات الأمنية التي تحدث عبر SDLC بالكامل. يجب على البائعين الذين يعملون أو يخططون للعمل في الولايات المتحدة أن يتفاعلوا بسرعة ويتعلموا كيفية الالتزام بـ SSDF.
إن SSDF ليس قائمة مرجعية يجب عليك اتباعها، بل هي خريطة طريق لتخطيط وتنفيذ نهج قائم على المخاطر لتأمين تطوير البرمجيات. ويتضمن ذلك تعزيز الشفافية واستخدام استراتيجية قائمة على الأدلة لحماية البرامج من أي تلاعب من قبل مستخدمين غير مصرح لهم.
لا يستطيع مستخدمو Scribe تطبيق سياسة على الشهادات لضمان التطوير الآمن وبناء العمليات أو للتحقق من عدم حدوث تلاعب، بل يمكنهم أيضًا قياس الامتثال لـ SSDF - أساس اللائحة السيبرانية الأمريكية الجديدة
احصل على دليل SSDF الكامل
يعد Scribe هو الحل الأول الذي يركز على مجموعة ممارسات PS (حماية البرامج) داخل SSDF
يُجري Scribe تقييمًا قائمًا على القواعد لتحديد مستوى حماية التعليمات البرمجية المصدر، استنادًا إلى معيار CIS Software Supply Chain Security المعروف، بالإضافة إلى بعض العناصر من SLSA.
قراءة حالة الاستخدام
الامتثال لإطار عمل SLSA
SLSA عبارة عن قائمة مرجعية شاملة لضوابط ومعايير الأمان التي تضمن سلامة البرامج. بالإضافة إلى مساعدة المطورين والمؤسسات والشركات على اتخاذ خيارات مستنيرة حول كيفية إنشاء برامج آمنة واستهلاكها، فإنها تقترح 4 سلاسل متصاعدة من الخطوات لتأمين دورة حياة تطوير البرامج بأكملها.
باستخدام Scribe، يمكن للمستخدمين أتمتة التحقق من الامتثال باستخدام SLSA. علاوة على ذلك، في المجالات المحددة التي لا يلتزمون فيها، يقدم Scribe مجموعة من التوصيات القابلة للتنفيذ لسد الفجوة. وهذا يحل مشكلة كبيرة لمنتجي البرمجيات الذين يحتاجون إلى الامتثال للوائح الجديدة التي تقودها الولايات المتحدة بحلول عام 2024.
قراءة حالة الاستخدام
يمكنك التحقق بسهولة من أن إصدارات SW تتوافق مع متطلبات المستوى 2 أو المستوى 3 من SLSA
يمكّنك Scribe من إنشاء مصدر SLSA كجزء من مسارات كل من الإصدارات الخاصة بك، ومعرفة متطلبات SLSA التي تم اجتيازها أو فشلها، ومعالجة أي مشكلات بسرعة وجعل البناء متوافقًا.
يمكنك بعد ذلك مشاركة الأدلة التي تم جمعها بسهولة مع أصحاب المصلحة المعنيين، مما يوضح بثقة امتثال البناء أو المنتج الخاص بك.
تحقيق التوافق مع FedRAMP بشكل أسرع، وباستخدام موارد أقل، مع الحفاظ على سرعة التطوير لديك
توفر منصة Scribe Security ميزات أساسية لتبسيط عمليات الامتثال وأتمتتها، مما يضمن وقتًا أسرع للحصول على الشهادة مع الحد الأدنى من الجهد اليدوي:
- إدارة SBOM الآلية
- حواجز الحماية ككود لحوكمة SDLC
- التأكيد المستمر: توقيع الكود والتحقق من المصدر
- مسح الثغرات وإدارة المخاطر
- الامتثال والإبلاغ المبني على الأدلة
ميزة الكاتب على الأدوات الأخرى
يقوم بتقييم السياسة بأكملها بدلاً من مجرد إنتاج وثيقة المصدر
يمكن للمنتجين جمع معلومات SLSA ذات الصلة حول خطوط الأنابيب الخاصة بهم، في شكل سلسلة من السياسات
يمكن للمنتجين اختيار تفعيل هذه السياسات في خط أنابيبهم والتحقق مما إذا كانت السياسة قد نجحت أم فشلت
إن اجتياز جميع السياسات يعني أنك تتوافق مع المستوى 3 من SLSA.
تغطي أطر عمل SSDF وSLSA نطاقًا واسعًا من المجالات، بما في ذلك إدارة الثغرات الأمنية وتكامل التعليمات البرمجية والتحقق من صحة المصدر وتنفيذ عمليات SDLC الآمنة. ومع ذلك، فإن تنفيذها يمكن أن يكون مهمة شاقة، خاصة بالنسبة للمنظمات ذات الموارد المحدودة. علاوة على ذلك، فإن الحاجة إلى إثبات الامتثال بطريقة لا لبس فيها استجابةً للائحة الفيدرالية الجديدة أو متطلبات العملاء ليست بالأمر التافه على الإطلاق.
مع الكاتب، يمكنك:
إنشاء وإدارة ومشاركة SBOMs
يسمح Scribe لموردي البرامج التجارية والمتكاملين بتتبع نقاط الضعف وإنشاء وإدارة ومشاركة SBOMs مع المستهلكين النهائيين وأصحاب المصلحة الآخرين في سلسلة توريد البرامج.
إدارة الوصول إلى SBOM
يسمح Scribe بالالتزامات التعاقدية للسماح بالوصول إلى SBOMs. كما أنه ينقل أيضًا مخاطر الثغرات الأمنية من خلال VEX (معيار CISA).
تحديد مستوى الحماية
استنادًا إلى معايير CIS Software Supply Chain Security وبعض العناصر من SLSA، يُجري Scribe تقييمًا قائمًا على القواعد لتحديد مستوى الحماية لخط أنابيب البناء.
