In den letzten Jahren haben aufsehenerregende Angriffe auf die Software-Lieferkette Unternehmen erheblichen Schaden zugefügt. Diese Angriffe haben die Notwendigkeit besserer Sicherheitspraktiken verdeutlicht, um Risiken im Zusammenhang mit der Software-Lieferkette zu begegnen. Infolgedessen drängte die US-Regierung auf neue Cyber-Vorschriften und -Standards. So entstanden SLSA und SSDF.
Diese Frameworks decken ein breites Spektrum an Bereichen ab, darunter Schwachstellenmanagement, Codeintegrität, Herkunftsvalidierung, Reaktion auf Vorfälle und Durchsetzung sicherer SDLC-Prozesse. Ihre Umsetzung kann jedoch eine entmutigende Aufgabe sein, insbesondere für Organisationen mit begrenzten Ressourcen.
Die Plattform von Scribe dient Softwareherstellern als sicherer Hafen. Es ermöglicht eine einfache Einhaltung der SLSA- und SSDF-Frameworks, selbst mit begrenzten Ressourcen
Scribe ermöglicht Kunden die Einhaltung der SSDF-Framework und SLSA durch Förderung der Transparenz durch einen evidenzbasierten Hub, der sicherstellt, dass die Software nicht manipuliert wurde.
Lösungsübersicht erhalten
Entspricht NIST SP 800-218 (SSDF)
Das SSDF zielt darauf ab, das Ausmaß und die Auswirkungen von Schwachstellen zu reduzieren, die im gesamten SDLC auftreten. Anbieter, die in den USA tätig sind oder eine Geschäftstätigkeit planen, müssen schnell reagieren und lernen, wie sie die SSDF einhalten.
Beim SSDF handelt es sich nicht um eine Checkliste, die Sie befolgen sollten, sondern vielmehr um einen Fahrplan für die Planung und Umsetzung eines risikobasierten Ansatzes zur sicheren Softwareentwicklung. Dazu gehört die Förderung von Transparenz und der Einsatz einer evidenzbasierten Strategie, um Software vor Manipulationen durch unbefugte Benutzer zu schützen.
Scribe-Benutzer können nicht nur eine Richtlinie auf Attestierungen anwenden, um sichere Entwicklungs- und Build-Prozesse zu gewährleisten oder zu bestätigen, dass keine Manipulationen stattgefunden haben, sondern sie können auch die Einhaltung des SSDF beurteilen – die Grundlage für die neue US-Cyber-Verordnung
Holen Sie sich den vollständigen SSDF-Leitfaden
Scribe ist die erste Lösung, die sich auf die PS-Gruppe (Protect the Software) innerhalb der SSDF konzentriert
Scribe führt eine regelbasierte Bewertung zur Bestimmung des Schutzniveaus des Quellcodes durch, basierend auf dem bekannten CIS Software Supply Chain Security Benchmark, kombiniert mit einigen Elementen von SLSA.
Anwendungsfall lesen
Beachten Sie das SLSA-Framework
SLSA ist eine umfassende Checkliste von Sicherheitskontrollen und -standards, die die Softwareintegrität gewährleisten. Es hilft Entwicklern, Organisationen und Unternehmen nicht nur dabei, fundierte Entscheidungen darüber zu treffen, wie sichere Software erstellt und genutzt werden soll, sondern schlägt auch vier aufeinander aufbauende Schrittreihen zur Sicherung des gesamten Softwareentwicklungslebenszyklus vor.
Mit Scribe können Benutzer die Compliance-Validierung mit SLSA automatisieren. Darüber hinaus bietet Scribe in den spezifischen Bereichen, in denen die Anforderungen nicht eingehalten werden, eine Reihe umsetzbarer Empfehlungen, um die Lücke zu schließen. Dies löst ein großes Problem für Softwarehersteller, die bis 2024 die neue US-geführte Verordnung einhalten müssen.
Anwendungsfall lesen
Überprüfen Sie ganz einfach, ob SW-Builds den Anforderungen von SLSA Level 2 oder Level 3 entsprechen
Mit Scribe können Sie die SLSA-Herkunft als Teil jeder Ihrer Build-Pipeline erstellen, genau sehen, welche SLSA-Anforderung bestanden oder nicht bestanden hat, und alle Probleme schnell beheben und den Build in Konformität bringen.
Anschließend können Sie die gesammelten Beweise ganz einfach mit den relevanten Stakeholdern teilen und so die Konformität Ihres Baus oder Produkts zuverlässig nachweisen.
Der Vorteil von Scribe gegenüber anderen Tools
Bewertet die gesamte Richtlinie und erstellt nicht nur ein Provenienzdokument
Hersteller können relevante SLSA-Informationen über ihre Pipelines in Form einer Reihe von Richtlinien sammeln
Produzenten können diese Richtlinien in ihrer Pipeline umsetzen und prüfen, ob die Richtlinie erfolgreich war oder nicht
Wenn alle Richtlinien erfüllt sind, entsprechen Sie der SLSA-Stufe 3.
Die SSDF- und SLSA-Frameworks decken ein breites Spektrum an Bereichen ab, darunter Schwachstellenmanagement, Codeintegrität, Herkunftsvalidierung und Durchsetzung sicherer SDLC-Prozesse. Ihre Umsetzung kann jedoch eine entmutigende Aufgabe sein, insbesondere für Organisationen mit begrenzten Ressourcen. Darüber hinaus ist die Notwendigkeit, die Einhaltung der neuen Bundesverordnung oder der Kundenanforderungen eindeutig nachzuweisen, alles andere als trivial.
Mit Scribe können Sie:
Generieren, verwalten und teilen Sie SBOMs
Scribe ermöglicht es kommerziellen Softwareanbietern und -integratoren, Schwachstellen zu verfolgen, SBOMs zu generieren, zu verwalten und mit nachgelagerten Verbrauchern und anderen Beteiligten in der Software-Lieferkette zu teilen.
SBOM-Zugriff verwalten
Scribe ermöglicht vertragliche Verpflichtungen, den Zugriff auf SBOMs zu ermöglichen. Darüber hinaus wird das Schwachstellenrisiko über VEX (ein CISA-Standard) kommuniziert.
Bestimmen Sie die Schutzstufe
Basierend auf dem CIS Software Supply Chain Security Benchmarking und einigen Elementen von SLSA führt Scribe eine regelbasierte Bewertung durch, um das Schutzniveau der Build-Pipeline zu bestimmen.
