En los últimos años, los ataques de alto perfil a la cadena de suministro de software han causado daños significativos a las organizaciones, lo que llevó al gobierno de los EE. UU. a impulsar nuevas regulaciones y estándares cibernéticos. Esto condujo al desarrollo de marcos clave como SLSA y SSDF, junto con la Ley de Autorización FedRAMP, que se convirtió en el enfoque autorizado para la seguridad de la computación en la nube en el procesamiento de información federal.
Estos marcos abordan de manera integral la seguridad del software a través de la gestión de vulnerabilidades, la integridad del código, la validación de procedencia, la respuesta a incidentes y los procesos seguros del ciclo de vida del desarrollo de software (SDLC). Si bien implementarlos puede ser un desafío, especialmente para organizaciones con recursos limitados, encontrará información detallada sobre cada marco y sus requisitos específicos a medida que se desplaza hacia abajo en esta página.
La plataforma de Scribe sirve como puerto seguro para los productores de software. Permite un fácil cumplimiento de los marcos SLSA y SSDF, incluso con recursos limitados.
Scribe permite a los clientes cumplir con las Marco SSDF y SLSA promoviendo la transparencia a través de un centro basado en evidencia que garantiza que el software no haya sido manipulado.
Obtener resumen de la soluciónCumple con NIST SP 800-218 (SSDF)
El SSDF tiene como objetivo reducir el volumen y el impacto de las vulnerabilidades que ocurren en todo el SDLC. Los proveedores que operan o planean operar en los EE. UU. deben reaccionar rápidamente y aprender cómo cumplir con el SSDF.
El SSDF no es una lista de verificación que deba seguir, sino más bien una hoja de ruta para planificar e implementar un enfoque basado en riesgos para el desarrollo de software seguro. Esto incluye promover la transparencia y utilizar una estrategia basada en evidencia para proteger el software de cualquier manipulación por parte de usuarios no autorizados.
Los usuarios de Scribe no solo pueden aplicar una política sobre las certificaciones para garantizar procesos de desarrollo y construcción seguros o para validar que no se ha producido manipulación, sino que también pueden evaluar el cumplimiento del SSDF, la base de la nueva regulación cibernética de EE. UU.
Obtenga la guía completa de SSDFScribe es la primera solución que se centra en el grupo de prácticas PS (Protect the Software) dentro del SSDF
Scribe lleva a cabo una evaluación basada en reglas para determinar el nivel de protección del código fuente, basándose en el conocido punto de referencia CIS Software Supply Chain Security, combinado con algunos elementos de SLSA.
Leer caso de usoCumplir con el marco SLSA
SLSA es una lista de verificación completa de controles y estándares de seguridad que garantizan la integridad del software. Además de ayudar a los desarrolladores, organizaciones y empresas a tomar decisiones informadas sobre cómo crear y consumir software seguro, propone cuatro series progresivas de pasos para proteger todo el ciclo de vida del desarrollo de software.
Con Scribe, los usuarios pueden automatizar la validación del cumplimiento con SLSA. Además de eso, en las áreas específicas donde no cumplen, Scribe proporciona un conjunto de recomendaciones prácticas para cerrar la brecha. Esto resuelve un enorme problema para los productores de software que deben cumplir con la nueva regulación liderada por Estados Unidos para 2024.
Leer caso de usoVerifique fácilmente que las compilaciones de software cumplan con los requisitos de nivel 2 o 3 de SLSA
Scribe le permite crear procedencia SLSA como parte de cada una de sus compilaciones, ver exactamente qué requisito de SLSA se aprobó o falló, y abordar rápidamente cualquier problema y hacer que la compilación cumpla con los requisitos.
Luego podrá compartir fácilmente la evidencia recopilada con las partes interesadas relevantes, demostrando con confianza el cumplimiento de su construcción o producto.
Logre el cumplimiento de FedRAMP más rápido, con menos recursos, mientras mantiene su velocidad de desarrollo
La plataforma de Scribe Security ofrece funciones críticas para optimizar y automatizar los procesos de cumplimiento, garantizando un tiempo de certificación más rápido con un mínimo esfuerzo manual:
- Gestión automatizada de SBOM
- Barandillas como código para la gobernanza del ciclo de vida del desarrollo de software (SDLC)
- Aseguramiento continuo: firma de código y verificación de procedencia
- Análisis de vulnerabilidades y gestión de riesgos
- Cumplimiento y presentación de informes basados en evidencia
La ventaja de Scribe sobre otras herramientas
Evalúa toda la política en lugar de simplemente producir un documento de procedencia.
Los productores pueden recopilar información SLSA relevante sobre sus ductos, en forma de una serie de políticas.
Los productores pueden optar por implementar estas políticas en su canalización y verificar si la política ha sido aprobada o no.
Todas las políticas aprobadas significan que usted cumple con el nivel 3 de SLSA.
Los marcos SSDF y SLSA cubren una amplia gama de áreas, incluida la gestión de vulnerabilidades, la integridad del código, la validación de procedencia y la aplicación de procesos SDLC seguros. Sin embargo, implementarlos puede ser una tarea desalentadora, particularmente para organizaciones que tienen recursos limitados. Además, la necesidad de demostrar cumplimiento de manera inequívoca en respuesta a la nueva regulación federal o a los requisitos de los clientes está lejos de ser trivial.
Con Scribe, puedes:
Genere, administre y comparta SBOM
Scribe permite a los proveedores e integradores de software comercial rastrear vulnerabilidades, generar, administrar y compartir SBOM con consumidores intermedios y otras partes interesadas en la cadena de suministro de software.
Administrar el acceso a SBOM
Scribe permite que las obligaciones contractuales permitan el acceso a los SBOM. También comunica el riesgo de vulnerabilidad a través de VEX (un estándar CISA).
Determinar el nivel de protección
Basado en la evaluación comparativa de seguridad de la cadena de suministro de software de CIS y algunos elementos de SLSA, Scribe realiza una evaluación basada en reglas para determinar el nivel de protección del proceso de construcción.