SDLC, seguridad de la cadena de suministro y cumplimiento normativo más allá de GitHub

Todos los Artículos

Doron Peri

La mayoría de las organizaciones de software utilizan múltiples plataformas para la gestión, compilación, registro, entrega e implementación de código. Para gestionar la seguridad del ciclo de vida del desarrollo de software y de la cadena de suministro de software se necesita una plataforma unificada que vaya más allá de las capacidades nativas de GitHub. Una gestión eficaz de los riesgos exige una trazabilidad y una gobernanza claras desde el código hasta la nube, lo que garantiza que cada imagen de contenedor y artefacto publicado esté vinculado a su origen.

Las organizaciones utilizan diversas herramientas para el desarrollo seguro de aplicaciones. Esto crea la necesidad de controlar y certificar sus resultados como parte de un proceso de desarrollo seguro (como lo exige la EO 14144). Dicha certificación incluye evidencia como SBOM y resultados de medidas de seguridad como escaneo de revisión de código, firma de artefactos, aislamiento de compilación y captura de procedencia.

Las aplicaciones modernas son complejas y, a menudo, implican múltiples artefactos, como imágenes de contenedores y versiones compuestas. La gestión del ciclo de vida del desarrollo de software (SDLC) y la seguridad de la cadena de suministro en los niveles de producto, versión y versión es esencial para generar las certificaciones necesarias y analizar los riesgos.

Scribe Security aborda estos desafíos ofreciendo:

Aplicación de políticas contextuales

  • Las políticas de seguridad personalizadas se aplican como controles restringidos en pasos críticos (codificación, compilación e implementación) para garantizar que se apliquen las medidas de seguridad necesarias durante todo el proceso de desarrollo.
  • Las políticas de Scribe se administran como código a través de GitOps, lo que proporciona un catálogo de 150 políticas de seguridad prediseñadas asignadas a marcos de cumplimiento que se pueden bifurcar, personalizar y ampliar.
  • Estas políticas están controladas por versiones, lo que garantiza que permanezcan a prueba de manipulaciones y se apliquen de manera consistente durante todo el SDLC.

Comparación de GitHub:

  • Opciones de configuración: GitHub ofrece configuraciones de seguridad (protecciones de ramas, revisiones obligatorias, escaneo de secretos, etc.) que se pueden configurar por repositorio u organización.
  • Limitaciones del alcance: Si bien los paneles de GitHub (por ejemplo, Descripción general de seguridad) brindan visibilidad, no aplican políticas en todo el SDLC.

Integridad

  • Scribe proporciona firma de código y artefactos, con validación en múltiples puertas (por ejemplo, control de compilación y admisión).
  • La plataforma admite la firma con claves administradas por el cliente mediante integraciones PKI y Sigstore.

Comparación de GitHub:

  • Certificaciones de artefactos:Las acciones de GitHub pueden generar certificaciones que capturan la procedencia de la compilación y están firmadas con Sigstore. 
  • Depende de la configuración:Esto requiere una configuración deliberada y no admite la firma con claves administradas por el cliente ni la validación en múltiples puntos de validación.

Cumplimiento y garantía de la cadena de suministro

  • Scribe genera continuamente certificaciones legibles por máquina que cumplen con marcos como SLSA y regulaciones como EO 14144.
  • Las certificaciones de seguridad integradas capturan evidencia del proceso de desarrollo y pueden agregarse a nivel de artefacto, producto y lanzamiento para auditoría y cumplimiento.

Comparación de GitHub:

  • Procedencia de los artefactos y SBOM: GitHub admite la procedencia de la compilación y puede exportar datos SBOM, pero estas funciones operan a nivel de repositorio o artefacto y requieren agregación manual para informes de toda la empresa.

Análisis de riesgo

  • Scribe evalúa continuamente el riesgo en todo el SDLC detectando vulnerabilidades, identificando violaciones de integridad, señalando cargas de trabajo huérfanas y monitoreando violaciones de políticas del SDLC.
  • Este análisis de riesgos integrado proporciona información útil para priorizar la remediación.

GitHub Comparación:

  • Alertas de vulnerabilidad: GitHub ofrece alertas a través de herramientas como Dependabot y CodeQL, pero los datos de riesgo a menudo quedan aislados en un repositorio sin un análisis integrado de cuestiones más amplias de políticas o integridad.

Descubrimiento continuo y generación de linaje

  • Scribe automatiza el descubrimiento de activos de desarrollo y crea linajes claros de código a nube al tiempo que identifica cargas de trabajo de producción huérfanas que carecen de trazabilidad.

Comparación de GitHub:

  • Paneles de seguridad: la descripción general de seguridad de GitHub proporciona información sobre las vulnerabilidades y configuraciones en todos los repositorios.
  • Descubrimiento limitado: GitHub no descubre automáticamente todos los activos de desarrollo ni ofrece un linaje de extremo a extremo desde el código hasta la nube.

Resum

Si bien GitHub ofrece una variedad de funciones de seguridad, a menudo requieren una configuración manual y carecen de una supervisión unificada y continua durante todo el ciclo de vida del software. Scribe Security cubre estas carencias al ofrecer visibilidad de extremo a extremo, aplicación de políticas contextuales, certificaciones integradas y análisis de riesgos integrales durante todo el ciclo de vida del software.

Por supuesto, las características de seguridad de GitHub se limitan a GitHub, mientras que Scribe Security cubre todas las plataformas DevOps y herramientas CI/CD.

Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.

Artículos relacionados con

Envenenamiento de caché
Envenenamiento de caché de GitHub

¿Sabes lo que sucede bajo el capó de tu CI? Sin un conocimiento profundo, usted podría ser vulnerable a ataques innovadores a la cadena de suministro. Este artículo describe tal ataque.

Imagen de puerta trasera
Herramientas SBOM al rescate: el caso de puerta trasera de XZ Utils

¿Qué es la puerta trasera XZ Utils (CVE-2024-3094)? CVE-2024-3094, publicado a principios de abril de 2024, es una puerta trasera insertada de forma maliciosa en una utilidad de Linux. Fue detectado por Andrés Freund, un curioso y preocupado ingeniero de software de Microsoft, a punto de integrarse en las principales distribuciones de Linux. Si esto hubiera tenido éxito, una cantidad inimaginable de servidores […]

Imagen de la característica
¿Cómo evitar el agotamiento de CVE y la fatiga de alertas en los análisis de vulnerabilidades?

Los análisis CVE (vulnerabilidades y exposiciones comunes) son esenciales para proteger sus aplicaciones de software. Sin embargo, con la creciente complejidad de las pilas de software, identificar y abordar todos los CVE puede resultar un desafío. Uno de los mayores problemas con los escaneos CVE hoy en día es la prevalencia de falsos positivos, donde se identifica una vulnerabilidad en un paquete que no es […]

Publicaciones Populares
SDLC, seguridad de la cadena de suministro y cumplimiento normativo más allá de GitHubComprensión y cumplimiento de la nueva norma federal de seguridad del software EO 14144: una guía prácticaCómo integrar SBOM en todo el ciclo de vida del desarrollo de softwareDefensa contra los recientes ataques a la cadena de suministro de software: lecciones y estrategias
Categorías