Die meisten Softwareunternehmen verwenden mehrere Plattformen für Codeverwaltung, Build, Registrierung, Lieferung und Bereitstellung. Die Steuerung der Sicherheit des SDLC und der Softwarelieferkette erfordert eine einheitliche Plattform, die über die nativen Funktionen von GitHub hinausgeht. Effektives Risikomanagement erfordert klare Rückverfolgbarkeit und Steuerung vom Code bis zur Cloud – um sicherzustellen, dass jedes Container-Image und jedes freigegebene Artefakt mit seiner Quelle verknüpft ist.
Organisationen verwenden verschiedene Tools für die sichere Anwendungsentwicklung. Dies erfordert die Verwaltung und Bestätigung ihrer Ergebnisse im Rahmen eines sicheren Entwicklungsprozesses (wie in EO 14144 gefordert). Zu einer solchen Bestätigung gehören Nachweise wie SBOMs und Ergebnisse aus Sicherheitsmaßnahmen wie Codeüberprüfung, Artefaktsignierung, Build-Isolierung und Herkunftserfassung.
Moderne Anwendungen sind komplex und umfassen häufig mehrere Artefakte wie Container-Images und Composite-Releases. Die Verwaltung von SDLC und Lieferkettensicherheit auf Produkt-, Versions- und Release-Ebene ist für die Generierung der erforderlichen Nachweise und die Risikoanalyse von entscheidender Bedeutung.
Scribe Security begegnet diesen Herausforderungen durch folgende Angebote:
Kontextbezogene Richtliniendurchsetzung
- Benutzerdefinierte Sicherheitsrichtlinien werden als geschlossene Kontrollen in kritischen Schritten (Code, Build und Bereitstellung) angewendet, um sicherzustellen, dass die erforderlichen Sicherheitsmaßnahmen während des gesamten Entwicklungsprozesses durchgesetzt werden.
- Die Richtlinien von Scribe werden als Code über GitOps verwaltet und bieten einen Katalog mit 150 vorgefertigten Sicherheitsrichtlinien, die Compliance-Frameworks zugeordnet sind, die geforkt, angepasst und erweitert werden können.
- Diese Richtlinien unterliegen einer Versionskontrolle. Dadurch wird sichergestellt, dass sie manipulationssicher bleiben und im gesamten SDLC einheitlich angewendet werden.
GitHub-Vergleich:
- Einstellmöglichkeiten: GitHub bietet Sicherheitseinstellungen (Zweigschutz, erforderliche Überprüfungen, geheimes Scannen usw.), die pro Repository oder Organisation konfiguriert werden können.
- Umfangsbeschränkungen: Obwohl GitHub-Dashboards (z. B. Sicherheitsübersicht) für Transparenz sorgen, setzen sie keine Richtlinien im gesamten SDLC durch.
Integrität
- Scribe ermöglicht die Signierung von Code und Artefakten mit Validierung an mehreren Gates (z. B. Build- und Zugangskontrolle).
- Die Plattform unterstützt das Signieren mit kundenverwalteten Schlüsseln unter Verwendung von PKI- und Sigstore-Integrationen.
GitHub-Vergleich:
- Artefaktbescheinigungen: GitHub Actions können Atteste generieren, die die Herkunft des Builds erfassen und mit Sigstore signiert sind.
- Konfigurationsabhängig: Dies erfordert eine gezielte Einrichtung und unterstützt keine Signierung mit vom Kunden verwalteten Schlüsseln und keine Validierung an mehreren Validierungspunkten.
Compliance und Lieferkettensicherung
- Scribe generiert kontinuierlich maschinenlesbare Bescheinigungen, die Frameworks wie SLSA und Vorschriften wie EO 14144 entsprechen.
- Integrierte Sicherheitsbestätigungen erfassen Beweise aus dem Entwicklungsprozess und können zur Prüfung und Einhaltung von Vorschriften auf Artefakt-, Produkt- und Release-Ebene aggregiert werden.
GitHub-Vergleich:
- Herkunft der Artefakte und SBOMs: GitHub unterstützt die Build-Herkunft und kann SBOM-Daten exportieren, diese Funktionen werden jedoch auf Repository- oder Artefaktebene ausgeführt und erfordern eine manuelle Aggregation für unternehmensweite Berichte.
Risikoanalyse
- Scribe bewertet kontinuierlich das Risiko im gesamten SDLC, indem es Schwachstellen erkennt, Integritätsverletzungen identifiziert, verwaiste Workloads kennzeichnet und Verstöße gegen SDLC-Richtlinien überwacht.
- Diese integrierte Risikoanalyse bietet umsetzbare Erkenntnisse für die Priorisierung von Sanierungsmaßnahmen.
GitHub Vergleich:
- Warnmeldungen zu Sicherheitslücken: GitHub bietet Warnmeldungen über Tools wie Dependabot und CodeQL, aber Risikodaten werden in einem Repository häufig isoliert, ohne dass eine integrierte Analyse umfassenderer Richtlinien- oder Integritätsprobleme erfolgt.
Kontinuierliche Erkennung und Liniengenerierung
- Scribe automatisiert die Erkennung von Entwicklungsressourcen und erstellt klare Code-to-Cloud-Linien, während gleichzeitig verwaiste Produktions-Workloads identifiziert werden, deren Rückverfolgbarkeit fehlt.
GitHub-Vergleich:
- Sicherheits-Dashboards: Die Sicherheitsübersicht von GitHub bietet Einblicke in Schwachstellen und Konfigurationen in allen Repositorys.
- Eingeschränkte Erkennung: GitHub erkennt nicht automatisch alle Entwicklungsressourcen und liefert keine durchgängige Herkunft vom Code bis zur Cloud.
Zusammenfassung
GitHub bietet zwar eine Reihe von Sicherheitsfunktionen, diese erfordern jedoch häufig eine manuelle Konfiguration und es fehlt eine einheitliche, kontinuierliche Überwachung des gesamten SDLC. Scribe Security schließt diese Lücken, indem es End-to-End-Transparenz, kontextbezogene Richtliniendurchsetzung, integrierte Bescheinigungen und umfassende Risikoanalysen über den gesamten Softwarelebenszyklus hinweg bietet.
Natürlich sind die Sicherheitsfunktionen von GitHub auf GitHub beschränkt, während Scribe Security alle DevOps-Plattformen und CI/CD-Tools abdeckt.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.
Zusammenhängende Artikel
