Stellen Sie sicher, dass Sie über alles verfügen, was zur Einhaltung der Formularanforderungen erforderlich ist
Die Einführung von Best Practices für die Software-Lieferkettensicherheit befindet sich derzeit in einem Wendepunkt, ähnlich wie die Veröffentlichung der PCI-Compliance-Anforderungen im Jahr 2006. Genau wie damals fügt die neue Verordnung erhebliche Anforderungen an die Unternehmensführung hinzu, in diesem Fall zur Bestätigung der Sicherheit ihrer Software und die genauen Mittel, mit denen sie erreicht wird.
Das vorgeschlagene Secure Software Development Attestation Form, obwohl es sich noch in einer endgültigen Entwurfsversion befindet und von DHS – CISA auf Anforderung des Memos M-23-16 des OMB und früher im Memo M-22-18 vorgelegt wurde, ist eine Verpflichtung mit erheblicher Bedeutung damit einhergehende Verbindlichkeiten. Es erfordert die Unterschrift der Unternehmensleitung, die garantiert, dass sie die Anforderungen des Formulars einhält. Es besteht die ausdrückliche Erwartung, dass diese Person(en) im Falle eines Angriffs auf die Software-Lieferkette ihre Unterschrift mit geeigneten Beweisen untermauern können.
Die vier Abschnitte des Formulars decken ein breites Spektrum an Anforderungen ab, bieten jedoch keine Anleitung zur Einhaltung. Die große Vielfalt an Tech-Stacks, Cloud-Umgebungen, CI/CD-Tools und Konfigurationen, die es in der Branche gibt, macht es schwierig, alle in der Form erforderlichen vielfältigen Beweise zu sammeln.
Darüber hinaus besteht die Frage des Zeitpunkts der Überprüfung. Wenn das Unternehmen nicht kontinuierlich Beweise sammelt, kann es kaum nachweisen, dass es die vereinbarten Best Practices befolgt hat.
Das automatische und kontinuierliche Sammeln der Beweise auf vertrauenswürdige Weise und die ständige Überprüfung der SDLC-Richtlinien, die das Unternehmen definiert und unterzeichnet hat, ist der richtige Weg, um nachzuweisen, dass die Anforderungen des Formulars eingehalten wurden.
Holen Sie sich dieses Whitepaper um herauszufinden, wie Scribe Ihnen dabei helfen kann, automatisch Beweise zu sammeln und zu signieren, um Vertrauen in Software aufzubauen.
Wir beraten Sie darüber, was zu den erforderlichen Nachweisen gehören sollte, einschließlich Protokolldateien, Screenshots, Konfigurationsdateien usw. Wir wissen, wie man Beweise aus Tools von Drittanbietern sammelt und sie mit den übrigen Beweisen für SDLC und den Aufbau von Pipelines einbezieht. Wir helfen dabei, diese Beweise in unwiderlegbare, unveränderliche Bescheinigungen umzuwandeln, die in einem sicheren Speicher gespeichert werden.
Solche Nachweise können als gültige Bescheinigungen für die SLSA- oder SSDF-Konformität dienen. Jedes Unternehmen kann seine eigenen Richtlinien basierend auf dem Sign-Verify-Modell anpassen.
Die Scribe-Plattform enthält alle gesammelten Beweise in einer einfach abzufragenden und segmentierten Form. Man kann die aggregierte SBOM-Ansicht aller Builds und Produkte, einen vollständigen Bericht über veraltete Komponenten und einen umfassenden Schwachstellenbericht (einschließlich …) untersuchen CVSS-Punktzahl und ein EPSS-Wahrscheinlichkeit) und ein darauf basierender Reputationsbericht der Bibliothek OpenSSF-Scorecard Projekt.
