In den letzten Jahren haben spektakuläre Angriffe auf die Software-Lieferkette Unternehmen erheblichen Schaden zugefügt, was die US-Regierung dazu veranlasste, sich für neue Cyber-Vorschriften und -Standards einzusetzen. Dies führte zur Entwicklung wichtiger Rahmenbedingungen wie SLSA und SSDF sowie des FedRAMP Authorization Act, der zum maßgeblichen Ansatz für die Cloud-Computing-Sicherheit in der staatlichen Informationsverarbeitung wurde.
Diese Frameworks befassen sich umfassend mit Softwaresicherheit durch Schwachstellenmanagement, Codeintegrität, Herkunftsvalidierung, Vorfallreaktion und sichere SDLC-Prozesse. Obwohl ihre Implementierung eine Herausforderung sein kann, insbesondere für Organisationen mit begrenzten Ressourcen, finden Sie auf dieser Seite detaillierte Informationen zu jedem Framework und seinen spezifischen Anforderungen.
Die Plattform von Scribe dient Softwareherstellern als sicherer Hafen. Es ermöglicht eine einfache Einhaltung der SLSA- und SSDF-Frameworks, selbst mit begrenzten Ressourcen
Scribe ermöglicht Kunden die Einhaltung der SSDF-Framework und SLSA durch Förderung der Transparenz durch einen evidenzbasierten Hub, der sicherstellt, dass die Software nicht manipuliert wurde.
Lösungsübersicht erhalten
Entspricht NIST SP 800-218 (SSDF)
Das SSDF zielt darauf ab, das Ausmaß und die Auswirkungen von Schwachstellen zu reduzieren, die im gesamten SDLC auftreten. Anbieter, die in den USA tätig sind oder eine Geschäftstätigkeit planen, müssen schnell reagieren und lernen, wie sie die SSDF einhalten.
Beim SSDF handelt es sich nicht um eine Checkliste, die Sie befolgen sollten, sondern vielmehr um einen Fahrplan für die Planung und Umsetzung eines risikobasierten Ansatzes zur sicheren Softwareentwicklung. Dazu gehört die Förderung von Transparenz und der Einsatz einer evidenzbasierten Strategie, um Software vor Manipulationen durch unbefugte Benutzer zu schützen.
Scribe-Benutzer können nicht nur eine Richtlinie auf Attestierungen anwenden, um sichere Entwicklungs- und Build-Prozesse zu gewährleisten oder zu bestätigen, dass keine Manipulationen stattgefunden haben, sondern sie können auch die Einhaltung des SSDF beurteilen – die Grundlage für die neue US-Cyber-Verordnung
Holen Sie sich den vollständigen SSDF-Leitfaden
Scribe ist die erste Lösung, die sich auf die PS-Gruppe (Protect the Software) innerhalb der SSDF konzentriert
Scribe führt eine regelbasierte Bewertung zur Bestimmung des Schutzniveaus des Quellcodes durch, basierend auf dem bekannten CIS Software Supply Chain Security Benchmark, kombiniert mit einigen Elementen von SLSA.
Anwendungsfall lesen
Beachten Sie das SLSA-Framework
SLSA ist eine umfassende Checkliste von Sicherheitskontrollen und -standards, die die Softwareintegrität gewährleisten. Es hilft Entwicklern, Organisationen und Unternehmen nicht nur dabei, fundierte Entscheidungen darüber zu treffen, wie sichere Software erstellt und genutzt werden soll, sondern schlägt auch vier aufeinander aufbauende Schrittreihen zur Sicherung des gesamten Softwareentwicklungslebenszyklus vor.
Mit Scribe können Benutzer die Compliance-Validierung mit SLSA automatisieren. Darüber hinaus bietet Scribe in den spezifischen Bereichen, in denen die Anforderungen nicht eingehalten werden, eine Reihe umsetzbarer Empfehlungen, um die Lücke zu schließen. Dies löst ein großes Problem für Softwarehersteller, die bis 2024 die neue US-geführte Verordnung einhalten müssen.
Anwendungsfall lesen
Überprüfen Sie ganz einfach, ob SW-Builds den Anforderungen von SLSA Level 2 oder Level 3 entsprechen
Mit Scribe können Sie die SLSA-Herkunft als Teil jeder Ihrer Build-Pipeline erstellen, genau sehen, welche SLSA-Anforderung bestanden oder nicht bestanden hat, und alle Probleme schnell beheben und den Build in Konformität bringen.
Anschließend können Sie die gesammelten Beweise ganz einfach mit den relevanten Stakeholdern teilen und so die Konformität Ihres Baus oder Produkts zuverlässig nachweisen.
Erreichen Sie FedRAMP-Compliance schneller und mit weniger Ressourcen, während Sie gleichzeitig Ihre Entwicklungsgeschwindigkeit beibehalten
Die Plattform von Scribe Security bietet wichtige Funktionen zur Optimierung und Automatisierung von Compliance-Prozessen und sorgt so für eine schnellere Zertifizierung bei minimalem manuellen Aufwand:
- Automatisiertes SBOM-Management
- Guardrails-as-Code für SDLC-Governance
- Kontinuierliche Sicherheit: Code Signing und Provenienzüberprüfung
- Schwachstellenscans und Risikomanagement
- Beweisbasierte Compliance und Berichterstattung
Der Vorteil von Scribe gegenüber anderen Tools
Bewertet die gesamte Richtlinie und erstellt nicht nur ein Provenienzdokument
Hersteller können relevante SLSA-Informationen über ihre Pipelines in Form einer Reihe von Richtlinien sammeln
Produzenten können diese Richtlinien in ihrer Pipeline umsetzen und prüfen, ob die Richtlinie erfolgreich war oder nicht
Wenn alle Richtlinien erfüllt sind, entsprechen Sie der SLSA-Stufe 3.
Die SSDF- und SLSA-Frameworks decken ein breites Spektrum an Bereichen ab, darunter Schwachstellenmanagement, Codeintegrität, Herkunftsvalidierung und Durchsetzung sicherer SDLC-Prozesse. Ihre Umsetzung kann jedoch eine entmutigende Aufgabe sein, insbesondere für Organisationen mit begrenzten Ressourcen. Darüber hinaus ist die Notwendigkeit, die Einhaltung der neuen Bundesverordnung oder der Kundenanforderungen eindeutig nachzuweisen, alles andere als trivial.
Mit Scribe können Sie:
Generieren, verwalten und teilen Sie SBOMs
Scribe ermöglicht es kommerziellen Softwareanbietern und -integratoren, Schwachstellen zu verfolgen, SBOMs zu generieren, zu verwalten und mit nachgelagerten Verbrauchern und anderen Beteiligten in der Software-Lieferkette zu teilen.
SBOM-Zugriff verwalten
Scribe ermöglicht vertragliche Verpflichtungen, den Zugriff auf SBOMs zu ermöglichen. Darüber hinaus wird das Schwachstellenrisiko über VEX (ein CISA-Standard) kommuniziert.
Bestimmen Sie die Schutzstufe
Basierend auf dem CIS Software Supply Chain Security Benchmarking und einigen Elementen von SLSA führt Scribe eine regelbasierte Bewertung durch, um das Schutzniveau der Build-Pipeline zu bestimmen.
