Ces dernières années, des attaques de grande envergure visant la chaîne d'approvisionnement de logiciels ont causé des dommages considérables aux organisations, poussant le gouvernement américain à faire pression pour l'adoption de nouvelles réglementations et normes en matière de cybersécurité. Cela a conduit au développement de cadres clés tels que SLSA et SSDF, ainsi qu'au FedRAMP Authorization Act, qui est devenu l'approche faisant autorité en matière de sécurité du cloud computing dans le traitement des informations fédérales.
Ces cadres abordent de manière exhaustive la sécurité logicielle via la gestion des vulnérabilités, l'intégrité du code, la validation de la provenance, la réponse aux incidents et les processus SDLC sécurisés. Bien que leur mise en œuvre puisse être difficile, en particulier pour les organisations aux ressources limitées, vous trouverez des informations détaillées sur chaque cadre et ses exigences spécifiques en faisant défiler cette page.
La plateforme Scribe sert de refuge aux producteurs de logiciels. Il permet une conformité facile aux cadres SLSA et SSDF, même avec des ressources limitées.
Scribe permet aux clients de se conformer aux Cadre SSDF et SLSA en promouvant la transparence grâce à un hub basé sur des preuves qui garantit que le logiciel n'a pas été falsifié.
Obtenir une présentation de la solution
Conforme à la norme NIST SP 800-218 (SSDF)
Le SSDF vise à réduire le volume et l’impact des vulnérabilités qui surviennent dans l’ensemble du SDLC. Les fournisseurs opérant ou envisageant d’opérer aux États-Unis doivent réagir rapidement et apprendre à se conformer au SSDF.
Le SSDF n'est pas une liste de contrôle que vous devez suivre, mais plutôt une feuille de route pour planifier et mettre en œuvre une approche basée sur les risques pour sécuriser le développement de logiciels. Cela implique de promouvoir la transparence et d'utiliser une stratégie fondée sur des preuves pour protéger les logiciels de toute falsification par des utilisateurs non autorisés.
Les utilisateurs de Scribe peuvent non seulement appliquer une politique sur les attestations pour garantir la sécurité des processus de développement et de construction ou pour valider qu'aucune falsification n'a eu lieu, mais ils peuvent également évaluer la conformité avec le SSDF, la base de la nouvelle cyber-réglementation américaine.
Obtenez le guide SSDF complet
Scribe est la première solution à se concentrer sur le groupe de pratiques PS (Protect the Software) au sein du SSDF
Scribe effectue une évaluation basée sur des règles pour déterminer le niveau de protection du code source, sur la base du référentiel bien connu CIS Software Supply Chain Security, combiné à certains éléments de SLSA.
Lire le cas d'utilisation
Se conformer au cadre SLSA
SLSA est une liste de contrôle complète des contrôles et des normes de sécurité qui garantissent l'intégrité des logiciels. En plus d'aider les développeurs, les organisations et les entreprises à faire des choix éclairés sur la manière de créer et d'utiliser des logiciels sécurisés, il propose 4 séries d'étapes croissantes pour sécuriser l'ensemble du cycle de vie du développement logiciel.
Grâce à Scribe, les utilisateurs peuvent automatiser la validation de conformité avec SLSA. En plus de cela, dans les domaines spécifiques où ils ne sont pas conformes, Scribe fournit un ensemble de recommandations concrètes pour combler l'écart. Cela résout un énorme problème pour les producteurs de logiciels qui doivent se conformer à la nouvelle réglementation américaine d’ici 2024.
Lire le cas d'utilisation
Vérifiez facilement que les versions logicielles sont conformes aux exigences SLSA niveau 2 ou niveau 3
Scribe vous permet de créer une provenance SLSA dans le cadre de chacun de vos pipelines de builds, de voir exactement quelle exigence SLSA a réussi ou échoué, de résoudre rapidement tout problème et de mettre la build en conformité.
Vous pouvez ensuite facilement partager les preuves collectées avec les parties prenantes concernées, démontrant en toute confiance la conformité de votre construction ou de votre produit.
Atteignez la conformité FedRAMP plus rapidement, avec moins de ressources, tout en maintenant votre vitesse de développement
La plateforme Scribe Security offre des fonctionnalités essentielles pour rationaliser et automatiser les processus de conformité, garantissant un délai de certification plus rapide avec un minimum d'effort manuel :
- Gestion automatisée des SBOM
- Des garde-fous en tant que code pour la gouvernance du cycle de vie du développement logiciel
- Assurance continue : signature de code et vérification de la provenance
- Analyse de vulnérabilité et gestion des risques
- Conformité et rapports fondés sur des preuves
L'avantage de Scribe par rapport aux autres outils
Évalue l’ensemble de la politique plutôt que de simplement produire un document de provenance
Les producteurs peuvent collecter des informations SLSA pertinentes sur leurs pipelines, sous la forme d'une série de politiques
Les producteurs peuvent choisir d'appliquer ces politiques sur leur pipeline et vérifier si la politique a été adoptée ou échouée.
Toutes les politiques adoptées signifient que vous vous conformez au niveau SLSA 3.
Les cadres SSDF et SLSA couvrent un large éventail de domaines, notamment la gestion des vulnérabilités, l'intégrité du code, la validation de la provenance et l'application de processus SDLC sécurisés. Cependant, leur mise en œuvre peut s’avérer une tâche ardue, en particulier pour les organisations disposant de ressources limitées. De plus, la nécessité de démontrer la conformité de manière sans équivoque en réponse à la nouvelle réglementation fédérale ou aux exigences des clients est loin d'être anodine.
Avec Scribe, vous pouvez :
Générer, gérer et partager des SBOM
Scribe permet aux fournisseurs et intégrateurs de logiciels commerciaux de suivre les vulnérabilités, de générer, de gérer et de partager des SBOM avec les consommateurs en aval et d'autres parties prenantes de la chaîne d'approvisionnement logicielle.
Gérer l'accès au SBOM
Scribe autorise les obligations contractuelles pour permettre l'accès aux SBOM. Il communique également le risque de vulnérabilité via VEX (une norme CISA).
Déterminer le niveau de protection
Sur la base de l'analyse comparative CIS Software Supply Chain Security et de certains éléments de SLSA, Scribe effectue une évaluation basée sur des règles pour déterminer le niveau de protection du pipeline de build.
