Wie Scribe Security mit Gartners Leader’s Guide zur Software Supply Chain Security übereinstimmt

Am 20. Juni 2024 veröffentlichte Gartner seinen einflussreichen LLeitfaden zur Sicherheit der Software-Lieferkette, Dies unterstreicht die wachsende Notwendigkeit, sich gegen Angriffe auf die Software-Lieferkette zu verteidigen. Angesichts der zunehmenden Häufigkeit und Raffinesse dieser Angriffe sind Unternehmen mit erheblichen Risiken konfrontiert, die sie effektiv managen müssen. Dieser Beitrag interpretiert die entscheidenden Ergebnisse des Gartner-Berichts. Er erklärt, wie die Lösungen von Scribe Security mit diesen Empfehlungen übereinstimmen und diese unterstützen, sodass Unternehmen Sicherheit der Software-Lieferkette (SSCS) strategisch.

Wichtige Erkenntnisse aus dem Gartner-Leitfaden

Der Leitfaden von Gartner bietet Unternehmen einen strategischen Fahrplan zur Sicherung ihrer SSCS. Er betont die Notwendigkeit einheitlicher Strategien, effektiven Informationsaustauschs und integrierter Sicherheitspraktiken über den gesamten Softwareentwicklungszyklus hinweg, anstatt sich auf bestimmte Bedrohungsvektoren zu konzentrieren. Der Bericht schlägt einen umfassenden Ansatz für SSCS vor, der die folgenden Bereiche umfasst:

1. Anfälliger Open-Source-Code: Viele Organisationen verlassen sich auf Open-Source-Software (OSS), die bei unzureichender Verwaltung und Überwachung Schwachstellen aufweisen kann.
2. Gewerbliches Eigentumsrecht: Neben den Open-Source-Risiken kann auch proprietäre Software Schwachstellen aufweisen, die Angreifer ausnutzen können.
3. Entwicklungsinfrastruktur: Schwachstellen in der Entwicklungsumgebung, wie etwa unsichere Entwicklungspipelines oder unzureichende Zugriffskontrollen, können zu Sicherheitsverletzungen führen.
4. Schädlicher Code in Open-Source-Paketen: Angreifer können schädlichen Code in beliebte Open-Source-Pakete einfügen, den Entwickler unwissentlich übernehmen können.
5. Schwachstellen im proprietären Code: Selbst individuell erstellte Software kann Fehler und Schwachstellen enthalten, deren Ausnutzung zu erheblichen Sicherheitsvorfällen führen kann.

Indem Gartner auf diese breite Angriffsfläche hinweist, ermutigt es Unternehmen, eine umfassende Strategie zu entwickeln, die die Risiken und Schwachstellen von Open-Source- und proprietären Produkten in der Entwicklungsinfrastruktur berücksichtigt.

Die steigenden Kosten von Angriffen auf die Software-Lieferkette

Gartner beschreibt die rasant steigende Zahl und Kosten von Angriffen auf die Software-Lieferkette. Unter Berufung auf einen Bericht von Cybersecurity Ventures/Snyk vom Oktober 2023 könnten die weltweiten Kosten dieser Angriffe bis 138 fast 2031 Milliarden US-Dollar erreichen, gegenüber fast 46 Milliarden US-Dollar im Jahr 2023. Diese Zahlen unterstreichen die erheblichen finanziellen Auswirkungen dieser Angriffe auf Unternehmen weltweit und die Bedeutung von Investitionen in SSCS.

Lücken bei den aktuellen Umsetzungsbemühungen

Während die meisten Organisationen die Bedeutung der Sicherheit in der Software-Lieferkette erkennen, deuten die Ergebnisse von Gartner darauf hin, dass die Implementierungsbemühungen oft fragmentiert und unkoordiniert sind, wie eine Gartner-Umfrage aus dem Jahr 2023 ergab. In der Umfrage arbeiteten zwei Drittel der Organisationen an SSCS-Initiativen, aber ihre Bemühungen blieben in der Regel mangelhaft. Häufige Probleme sind die Konzentration auf die Anwendungssicherheit, ohne die Sicherheit der Entwicklungsumgebung zu berücksichtigen, was zu Lücken führt, die Angreifer ausnutzen können.

Die Zukunft der SSCS-Einführung

Gartner geht bei der Planung davon aus, dass bis 2027 80 % der Organisationen unternehmensweit spezialisierte Prozesse und Tools zur Minderung von SSCS-Risiken einführen werden (im Vergleich zu 50 % im Jahr 2023). Dieser Anstieg spiegelt ein wachsendes Bewusstsein für die entscheidende Bedeutung einer SSCS-Strategie und den Bedarf an Lösungen wider, die Sicherheit in den gesamten Softwareentwicklungszyklus integrieren.

Bedeutung von Koordination und Automatisierung

Um effektive SSCS zu etablieren, diskutiert Gartner die Notwendigkeit einer organisationsweiten Koordination und eines Informationsaustauschs. Automatisierung spielt bei dieser Strategie eine wichtige Rolle, da sie eine konsistente Durchsetzung von Sicherheitsrichtlinien und zeitnahe Sicherheitsbewertungen während des gesamten Softwareentwicklungszyklus ermöglicht. Automatisierte Prozesse reduzieren die Abhängigkeit von manuellen Eingriffen, minimieren menschliche Fehler und gewährleisten eine konsistente Anwendung von Sicherheitsmaßnahmen in allen Entwicklungsphasen, von der Codeerstellung bis zur Bereitstellung.

Die Plattform von Scribe Security richtet sich nach diesen Grundsätzen, indem automatisierte Prozesse integriert werden, die die Echtzeit-Erkennung von Bedrohungen, die Überwachung der Einhaltung von Vorschriften und die Durchsetzung von Richtlinien verbessern. Das Angebot von Automatisierung als Teil der SSCS-Lösung gewährleistet ein proaktives und effizientes Risikomanagement und hilft Unternehmen, neu auftretende Bedrohungen zu vermeiden.

Stakeholder-Koordination

Effektives SSCS erfordert die Zusammenarbeit verschiedener Interessengruppen, darunter Sicherheitsteams, Softwareentwicklung, Beschaffung, Lieferantenrisikomanagement und Betriebssicherheit. Jede Gruppe spielt eine Rolle bei der Aufrechterhaltung einer sicheren Softwarelieferkette, und die Koordination zwischen diesen Interessengruppen trägt dazu bei, einen konsistenten SSCS-Standard und konsistente SSCS-Praktiken sicherzustellen.

Die kollaborative Plattform von Scribe Security erleichtert die organisationsübergreifende Koordination, indem sie Kommunikation und Informationsaustausch ermöglicht und eine einheitliche Ansicht der Sicherheitsdaten bietet. Dies hilft beispielsweise dabei, schnell auf potenzielle Bedrohungen zu reagieren und einen konsistenten Ansatz für SSCS beizubehalten.

Werkzeuge und Technologie

Angesichts der Komplexität moderner Software-Lieferketten empfiehlt Gartner die Verwendung spezialisierter Tools, die auf die Unterstützung verschiedener Phasen des SSCS-Lebenszyklus zugeschnitten sind. Unternehmen sollten mit der Bewertung kritischer Phasen beginnen, um die Tools und Funktionen zu priorisieren, die ihren Anforderungen am besten entsprechen. Scribe Security bietet eine umfassende Suite von Tools zur Verwaltung von Risiken im gesamten Software-Lebenszyklus, von der Entwicklung bis zur Bereitstellung und darüber hinaus.

Die drei Säulen der Software-Lieferkettensicherheit und wie Scribe sie angeht

Gartner identifiziert drei wichtige Säulen für die Gewährleistung einer angemessenen Sicherheit in der Software-Lieferkette: Kuratieren, Erstellen und Konsumieren. Diese Säulen bilden einen Rahmen für Unternehmen zur Entwicklung einer effektiven SSCS-Strategie. Scribe Security bietet Funktionen, die auf jede dieser Säulen abgestimmt sind, um alle Aspekte der Software-Lieferkette zu schützen.

1. Kuratieren

Bei der Kuration geht es um die Verwaltung von Risiken im Zusammenhang mit Drittanbieterbibliotheken, die während des Softwareentwicklungszyklus als Abhängigkeiten verwendet werden. Drittanbieterkomponenten können Schwachstellen aufweisen, wenn sie nicht ordnungsgemäß geprüft und überwacht werden. Gartner empfiehlt die Implementierung von Prozessen und Tools zur Bewertung von Abhängigkeiten hinsichtlich Sicherheit, Betriebsrisiko, Einhaltung gesetzlicher Vorschriften und automatischer Richtliniendurchsetzung, um die Verwendung riskanter oder nicht genehmigter Abhängigkeiten zu verhindern.

So passt Scribe zur Curate-Säule:

• Automatisierte Analyse von Abhängigkeiten: Scribe analysiert automatisch Softwareabhängigkeiten vor, während und nach der Entwicklung. Diese kontinuierliche Überwachung wertet Änderungen in Abhängigkeiten automatisch auf potenzielle Sicherheitsrisiken aus.
• Umfassende Informationsbeschaffung: Scribe sammelt detaillierte Informationen zu jeder Abhängigkeit, darunter Informationen zu bekannten Schwachstellen, Reputationsbewertungen (wie die von OpenSSF), verfügbaren Fixes und Lizenzinformationen. Diese Daten helfen Organisationen dabei, fundierte Entscheidungen darüber zu treffen, welche Abhängigkeiten verwendet werden sollen.
• Erweitertes Inventar der Software-Stückliste (SBOM): Scribe verwaltet alle Abhängigkeitsinformationen in einem erweiterten SBOM-Inventar. Dieses Inventar bietet eine klare und umfassende Ansicht aller Softwarekomponenten und erleichtert so die Verfolgung und Verwaltung von Risiken.
• Automatisierte Richtliniendurchsetzung: Scribe wendet automatisierte Richtlinien an, um externe Abhängigkeiten basierend auf vordefinierten Kriterien zu warnen, zu blockieren oder zuzulassen. Diese Richtlinien können Sicherheits-, Betriebs-, Rechts- und Compliance-Risiken handhaben, sind als Code hochgradig anpassbar und werden nativ mit GitOps verwaltet. Dieser Ansatz fördert die Verwendung ausschließlich sicherer und genehmigter Abhängigkeiten.

2. Erstellen

Die Säule „Erstellen“ konzentriert sich auf den Schutz von Software vor Schadcode-Injektionen in verschiedenen Phasen des Entwicklungsprozesses. Dies erfordert die Verfolgung von Abhängigkeiten, die Sicherung von Entwicklungsumgebungen, die Sicherstellung der Herkunft und Integrität von Artefakten sowie die Implementierung strenger Sicherheitskontrollen und -richtlinien.

So passt Scribe zur Säule „Erstellen“:

• Top-Down-Sicherheitsansatz: Scribe verwendet einen Top-down-Ansatz, um Software während ihres gesamten Entwicklungslebenszyklus zu schützen. Dieser Ansatz umfasst die Erkennung aller Softwareentwicklungslebenszyklus-Pipelines (SDLC) im gesamten Unternehmen, von der Codeerstellung bis zur Cloud-Bereitstellung oder -Veröffentlichung.
• Kontinuierliche Überwachung: Scribe überwacht den gesamten Entwicklungszyklus, einschließlich der Phasen vor und nach der Bereitstellung. Diese kontinuierliche Überwachung hilft, Sicherheitsrisiken in jeder Entwicklungsphase zu identifizieren und zu minimieren.
• Kryptografische Signierung von Artefakten: Scribe stellt sicher, dass Beweise und alle Hashes von Zwischen- und Endartefakten kryptografisch signiert sind. Diese Vorgehensweise bietet sofort einsatzbereite Herkunftsnachweise für jedes erstellte Artefakt und stellt so die Integrität und Authentizität von Softwarekomponenten sicher.
• Wissensgraph und SBOM-Inventar: Der Beweisspeicher von Scribe fungiert als Wissensgraph und SBOM-Inventar und verfolgt alle in Projekten und der Produktion verwendeten Komponenten mit Kontext. Diese Verfolgung ermöglicht Echtzeitwarnungen über das Vorhandensein anfälliger Artefakte, wenn neue Schwachstellen veröffentlicht werden.
• Richtliniendurchsetzung: Scribe wendet Sicherheitsrichtlinien während Build-Prozessen, der Zugangskontrolle und Offline-Repository-Scans an. Diese Richtlinien werden mit GitOps als Code verwaltet, was sie zu einem integralen Bestandteil des SDLC macht und sicherstellt, dass Sicherheitskontrollen konsistent angewendet werden.
• Compliance-Blaupausen: Scribe bietet Framework-Blueprints wie Supply Chain Levels for Software Artifacts (SLSA) und Secure Software Development Framework (SSDF), um die Einhaltung von Vorschriften produkt- und versionsweise durchzusetzen oder zu überwachen. Diese Blueprints bieten einen standardisierten Ansatz für Sicherheit und Compliance und helfen Unternehmen, Branchenstandards einzuhalten.

3. Konsumieren

Die Säule „Consume“ reduziert Risiken, die mit Softwarepaketen von Drittanbietern verbunden sind, egal ob es sich um kommerzielle Standardsoftware (COTS) oder OSS handelt. Dazu gehört die Evaluierung von Software vor dem Erwerb, die Gewährleistung von Transparenz bei der Softwarezusammensetzung, die Durchführung spezieller Tests und die Implementierung robuster Prozesse für SBOMs und andere Sicherheitsartefakte.

So passt Scribe zur Säule „Konsumieren“:

• Kollaborative Plattform für SSCS-Interessengruppen: Scribe bietet eine kollaborative Plattform, die die Kommunikation und den Informationsaustausch zwischen SSCS-Beteiligten innerhalb und außerhalb der Organisation erleichtert. Scribe-Anbieter können SBOMs, Vulnerability Exchange (VEX)-Hinweise und Compliance-Bescheinigungen, wie z. B. die SLSA-Herkunft, mit ihren Kunden teilen.
• Einheitliche Quelle der Wahrheit: Scribe ermöglicht verschiedenen internen Stakeholdern – Entwicklern, Security Operations Centers (SOC), Governance-, Risiko- und Compliance-Teams (GRC) und Rechtsabteilungen – den Zugriff auf eine einheitliche Quelle der Wahrheit. Diese zentralisierte Ansicht setzt akzeptable Risikorichtlinien während des gesamten Lebenszyklus des Softwareprodukts durch.
• Proaktive Einbindung von Lieferanten: Scribe hilft Unternehmen dabei, proaktiv mit ihren Lieferanten zusammenzuarbeiten, um Compliance und Sicherheit sicherzustellen. Dies steht im Einklang mit Gartners Schwerpunkt auf Transparenz und gründlicher Bewertung. Mithilfe der Plattform von Scribe können Unternehmen die Sicherheitspraktiken ihrer Lieferanten verfolgen und sicherstellen, dass die Software von Drittanbietern ihren Sicherheitsstandards entspricht.
• SBOM-Generierung und -Verwaltung: Mit Scribe können Softwarenutzer SBOMs für empfangene Softwareartefakte generieren oder SBOMs und VEX-Daten von Anbietern aufnehmen. Mit dieser Funktion können Benutzer ein aktuelles Inventar aller in verpackten Produkten verwendeten Komponenten führen, auf neue Schwachstellen achten und rechtzeitig Maßnahmen zur Risikominimierung ergreifen.
• Unterstützung bei der Reaktion auf Vorfälle: Die gesammelten Beweise und die zugeordnete Herkunft freigegebener Softwareartefakte schaffen Verantwortlichkeit und liefern wichtige forensische Informationen für die Reaktion auf Vorfälle. Diese Funktion verbessert die Fähigkeit des Unternehmens, schnell und effektiv auf Sicherheitsvorfälle zu reagieren.

Warum sollten Sie sich für Scribe Security entscheiden?

Scribe Security bietet einen umfassenden und integrierten Ansatz für die Sicherheit der Softwarelieferkette und entspricht Gartners Schwerpunkt auf Automatisierung, Koordination und proaktivem Risikomanagement. Die Lösung von Scribe ist in den SDLC des Unternehmens eingebettet, automatisiert die Generierung von Sicherheitsnachweisen, wendet Integritäts- und Herkunftskontrollen an und setzt Richtlinien als Leitplanken während des gesamten Softwarelebenszyklus durch.

Hauptvorteile von Scribe Security:

• End-to-End-Automatisierung: Scribe automatisiert Sicherheitsprozesse, reduziert den Bedarf an manueller Überwachung und beschleunigt Compliance-Prüfungen. Dazu gehören automatisierte Compliance-Prüfungen während der Build- und Bereitstellungsphasen, Artefaktsignierung, Codeüberprüfung, Implementierung von Sicherheitsscannern und Behebung schwerwiegender Schwachstellen.
• Zusammenarbeit zwischen allen Beteiligten: Die Plattform von Scribe verbessert die Zusammenarbeit der Beteiligten und dient als zentrale Informationsquelle, die Kontext, Lieferketteninformationen und Softwareartefaktverfolgung bietet. Dies unterstützt koordinierte Bemühungen zur Verwaltung der Sicherheit in verschiedenen Abteilungen und mit externen Partnern.
• Lieferantenrisikomanagement: Scribe verbessert das Lieferantenrisikomanagement, indem es Unternehmen ermöglicht, wichtige Lieferkettennachweise wie SBOMs, SLSA-Herkunft und Konformitätsbescheinigungen auszuwerten und zu verwalten. Mit dieser Funktion können Hersteller und Verbraucher sicherstellen, dass ihre Softwarelieferketten Sicherheits- und Regulierungsstandards erfüllen.
• Integration mit Anwendungssicherheitsscannern: Scribe lässt sich in beliebte Anwendungssicherheitsscanner integrieren, sodass Unternehmen Sicherheitsrichtlinien auf Ergebnisse anwenden und einen einheitlichen Überblick über ihre gesamte Sicherheitslage behalten können.

Sind Sie bereit, Ihren Ansatz zur Sicherheit der Software-Lieferkette zu verändern?

Gartner's Leitfaden zur Sicherheit der Software-Lieferkette betont, wie wichtig es für Organisationen ist, umfassende und koordinierte SSCS-Strategien zu übernehmen. Organisationen können Risiken effektiv managen, die Sicherheit verbessern und die Einhaltung gesetzlicher Vorschriften sicherstellen, indem sie ein auf drei Säulen basierendes Framework implementieren – Kuratieren, Erstellen und Verwenden – und fortschrittliche Tools und Prozesse wie die von Scribe Security nutzen. Die zunehmenden finanziellen Auswirkungen von Angriffen auf die Software-Lieferkette und die sich entwickelnden regulatorischen Rahmenbedingungen zwingen Organisationen dazu, SSCS-Bemühungen Priorität einzuräumen.

Hier ist ein kleiner Spickzettel, der zusammenfasst, wie Sie die Scribe Security-Plattform nutzen können. Wenn Sie mehr erfahren möchten planen eine Demo um die Lösung in Aktion zu sehen.

Zusammenhängende Artikel

Kontinuierliche Sicherheit: Eine integrale Praxis für die Sicherheit der Software-Lieferkette

Continuous Assurance sammelt detailliert Beweise über alle Ereignisse im Entwicklungslebenszyklus, einschließlich der Produkterstellung und -bereitstellung, die sich auf die Sicherheit des letztendlichen Softwareprodukts auswirken könnten.

ML-Was? Das ML-Bom-Konzept und seine Verwendung verstehen

Die Branche hat die Idee einer SBOM noch nicht vollständig verstanden, und wir hören bereits einen neuen Begriff – ML-BOM – Machine Learning Bill of Material. Bevor Panik ausbricht, wollen wir verstehen, warum eine solche Stückliste erstellt werden sollte, welche Herausforderungen bei der Generierung einer ML-Stückliste bestehen und wie eine solche ML-Stückliste aussehen kann. […]

SPDX vs. CycloneDX: SBOM-Formate im Vergleich

Trotz der zunehmenden Akzeptanz der Software Bill of Materials (SBOM) als Schwachstellenmanagement- und Cybersicherheitstool haben viele Unternehmen immer noch Schwierigkeiten, die beiden heute gängigsten SBOM-Formate SPDX und CycloneDX zu verstehen. In diesem Artikel vergleichen wir diese beiden Formate, um Ihnen bei der Auswahl des richtigen Formats für […] zu helfen.