Comment Scribe Security s'aligne sur le Guide du leader de Gartner sur la sécurité de la chaîne d'approvisionnement logicielle

Le 20 juin 2024, Gartner a publié son influent rapport LGuide du lecteur sur la sécurité de la chaîne d'approvisionnement des logiciels, Le rapport de Gartner souligne le besoin croissant de se défendre contre les attaques de la chaîne d'approvisionnement logicielle. Avec la fréquence et la sophistication croissantes de ces attaques, les organisations sont confrontées à des risques importants qu'elles doivent gérer efficacement. Cet article interprète les conclusions essentielles du rapport de Gartner. Il explique comment les solutions de Scribe Security s'alignent sur ces recommandations et les soutiennent, permettant aux organisations de gérer sécurité de la chaîne logistique logicielle (SSCS) stratégiquement.

Principales conclusions du guide Gartner

Le guide de Gartner fournit une feuille de route stratégique aux entreprises pour sécuriser leur SSCS. Il met l'accent sur la nécessité de stratégies unifiées, d'un partage efficace des informations et de pratiques de sécurité intégrées tout au long du cycle de vie du développement logiciel plutôt que de se concentrer sur des vecteurs de menace spécifiques. Le rapport suggère une approche globale du SSCS qui comprend les domaines suivants :

1. Code Open Source vulnérable : De nombreuses organisations s’appuient sur des logiciels open source (OSS), qui peuvent introduire des vulnérabilités s’ils ne sont pas correctement gérés et surveillés.
2. Code de commerce exclusif : Outre les risques liés aux logiciels open source, les logiciels propriétaires peuvent contenir des vulnérabilités que les attaquants peuvent exploiter.
3. Infrastructures de développement : Les faiblesses de l’environnement de développement, telles que des pipelines de développement non sécurisés ou des contrôles d’accès insuffisants, peuvent conduire à des failles de sécurité.
4. Code malveillant dans les packages open source : Les attaquants peuvent insérer du code malveillant dans des packages open source populaires, que les développeurs peuvent adopter sans le savoir.
5. Vulnérabilités dans le code propriétaire : Même les logiciels personnalisés peuvent contenir des bugs et des vulnérabilités qui, s’ils sont exploités, pourraient conduire à des incidents de sécurité importants.

En soulignant cette large surface d’attaque, Gartner encourage les organisations à développer une stratégie globale qui répond aux risques et vulnérabilités open source et propriétaires dans l’infrastructure de développement.

Le coût croissant des attaques contre la chaîne d'approvisionnement de logiciels

Gartner décrit l’augmentation rapide du nombre et du coût des attaques contre la chaîne d’approvisionnement de logiciels. Selon un rapport de Cybersecurity Ventures/Snyk d’octobre 2023, le coût mondial de ces attaques pourrait atteindre près de 138 milliards de dollars d’ici 2031, contre près de 46 milliards de dollars en 2023. Ces chiffres soulignent l’impact financier important de ces attaques sur les entreprises du monde entier et l’importance d’investir dans les SSCS.

Lacunes dans les efforts actuels de mise en œuvre

Si la plupart des entreprises reconnaissent l’importance de la sécurité de la chaîne d’approvisionnement logicielle, les conclusions de Gartner indiquent que les efforts de mise en œuvre sont souvent fragmentés et non coordonnés, comme l’a révélé une enquête Gartner de 2023. Dans l’enquête, les deux tiers des entreprises ont travaillé sur des initiatives SSCS, mais leurs efforts ont généralement été insuffisants. Les problèmes courants incluent le fait de se concentrer sur la sécurité des applications sans aborder la sécurité de l’environnement de développement, ce qui entraîne des failles que les attaquants peuvent exploiter.

L'avenir de l'adoption du SSCS

Gartner recommande comme hypothèse de planification que d'ici 2027, 80 % des organisations adopteront des processus et des outils spécialisés dans toute l'entreprise pour atténuer les risques SSCS, contre 50 % en 2023. Cette augmentation reflète une prise de conscience croissante de l'importance cruciale d'une stratégie SSCS et de la nécessité de solutions qui intègrent la sécurité tout au long du cycle de vie du développement logiciel.

Importance de la coordination et de l'automatisation

Pour mettre en place un SSCS efficace, Gartner évoque la nécessité d’une coordination et d’un partage d’informations à l’échelle de l’entreprise. L’automatisation joue un rôle important dans cette stratégie, permettant une application cohérente des politiques de sécurité et des évaluations de sécurité en temps opportun tout au long du cycle de vie du développement logiciel. Les processus automatisés réduisent le recours à l’intervention manuelle, minimisent les erreurs humaines et garantissent une application cohérente des mesures de sécurité à toutes les étapes du développement, de la création du code au déploiement.

La plateforme de sécurité Scribe s'aligne sur ces principes en intégrant des processus automatisés qui améliorent la détection des menaces en temps réel, la surveillance de la conformité et l'application des politiques. Proposer l'automatisation dans le cadre de sa solution SSCS garantit une gestion proactive et efficace des risques, aidant ainsi les organisations à éviter les menaces émergentes.

Coordination des parties prenantes

Un SSCS efficace nécessite une collaboration entre les différentes parties prenantes, notamment les équipes de sécurité, l'ingénierie logicielle, les achats, la gestion des risques des fournisseurs et la sécurité opérationnelle. Chaque groupe joue un rôle dans le maintien d'une chaîne d'approvisionnement logicielle sécurisée, et la coordination entre ces parties prenantes contribue à garantir une norme et des pratiques SSCS cohérentes.

La plateforme collaborative de Scribe Security facilite la coordination entre les organisations en permettant la communication et le partage d'informations et en offrant une vue unifiée des données de sécurité. Cela permet, par exemple, de réagir rapidement aux menaces potentielles et de maintenir une approche cohérente du SSCS.

Outils et technologie

Compte tenu de la complexité des chaînes d’approvisionnement de logiciels modernes, Gartner recommande d’utiliser des outils spécialisés adaptés aux différentes phases du cycle de vie des SSCS. Les entreprises doivent commencer par évaluer les phases critiques pour hiérarchiser les outils et les fonctionnalités qui correspondent le mieux à leurs besoins. Scribe Security propose une suite complète d’outils conçus pour gérer les risques tout au long du cycle de vie des logiciels, du développement au déploiement et au-delà.

Les trois piliers de la sécurité de la chaîne d'approvisionnement logicielle et la manière dont Scribe les aborde

Gartner identifie trois piliers essentiels pour garantir une sécurité adéquate de la chaîne d'approvisionnement logicielle : la conservation, la création et la consommation. Ces piliers constituent un cadre permettant aux organisations de développer une stratégie SSCS efficace. Scribe Security offre des fonctionnalités qui s'alignent sur chacun de ces piliers pour protéger tous les aspects de la chaîne d'approvisionnement logicielle.

1. Curé

La curation implique la gestion des risques associés aux bibliothèques tierces utilisées comme dépendances au cours du cycle de vie du développement logiciel. Les composants tiers peuvent introduire des vulnérabilités s'ils ne sont pas correctement contrôlés et surveillés. Gartner recommande de mettre en œuvre des processus et des outils pour évaluer les dépendances en termes de sécurité, de risque opérationnel, de conformité juridique et d'application automatisée des politiques afin d'empêcher l'utilisation de dépendances risquées ou non approuvées.

Comment Scribe s'aligne sur le pilier Curate :

• Analyse automatisée des dépendances : Scribe analyse automatiquement les dépendances logicielles avant, pendant et après le développement. Cette surveillance continue évalue automatiquement les modifications des dépendances pour détecter d'éventuels risques de sécurité.
• Collecte complète de renseignements : Scribe collecte des informations détaillées sur chaque dépendance, notamment des informations sur les vulnérabilités connues, les scores de réputation (tels que ceux d'OpenSSF), les correctifs disponibles et les informations de licence. Ces données aident les organisations à prendre des décisions éclairées sur les dépendances à utiliser.
• Inventaire des nomenclatures de logiciels enrichies (SBOM) : Scribe gère toutes les informations de dépendance dans un inventaire SBOM enrichi. Cet inventaire fournit une vue claire et complète de tous les composants logiciels, facilitant ainsi le suivi et la gestion des risques.
• Application automatisée des politiques : Scribe applique des politiques automatisées pour alerter, bloquer ou autoriser les dépendances externes en fonction de critères prédéfinis. Ces politiques peuvent gérer les risques de sécurité, opérationnels, juridiques et de conformité, sont hautement personnalisables en tant que code et sont gérées nativement avec GitOps. Cette approche favorise l'utilisation de dépendances sûres et approuvées uniquement.

2. Créer

Le pilier Créer se concentre sur la protection des logiciels contre les injections de code malveillant à différentes étapes du processus de développement. Cela nécessite de suivre les dépendances, de sécuriser les environnements de développement, de garantir la provenance et l'intégrité des artefacts et de mettre en œuvre des contrôles et des politiques de sécurité stricts.

Comment Scribe s'aligne sur le pilier Créer :

• Approche de sécurité descendante : Scribe utilise une approche descendante pour protéger les logiciels tout au long de leur cycle de développement. Cette approche implique la découverte de tous les pipelines du cycle de vie de développement logiciel (SDLC) au sein de l'organisation, de la création du code au déploiement ou à la publication dans le cloud.
• Contrôle continu: Scribe surveille l'intégralité du cycle de développement, y compris les phases de pré-déploiement et de post-déploiement. Cette surveillance continue permet d'identifier et d'atténuer les risques de sécurité à chaque étape du développement.
• Signature cryptographique des artefacts : Scribe garantit que les preuves et tous les hachages des artefacts intermédiaires et finaux sont signés de manière cryptographique. Cette pratique fournit une provenance prête à l'emploi pour chaque artefact créé, garantissant l'intégrité et l'authenticité des composants logiciels.
• Graphique de connaissances et inventaire SBOM : Le magasin de preuves de Scribe agit comme un graphique de connaissances et un inventaire SBOM, en suivant tous les composants utilisés dans les projets et la production avec le contexte. Ce suivi permet de générer des alertes en temps réel sur la présence d'artefacts vulnérables à mesure que de nouvelles vulnérabilités sont publiées.
• L'application de la politique: Scribe applique des politiques de sécurité pendant les processus de création, le contrôle d'admission et les analyses de référentiel hors ligne. Ces politiques sont gérées sous forme de code avec GitOps, ce qui en fait une partie intégrante du SDLC et garantit que les contrôles de sécurité sont appliqués de manière cohérente.
• Plans directeurs de conformité : Scribe propose des plans directeurs tels que Supply Chain Levels for Software Artifacts (SLSA) et Secure Software Development Framework (SSDF) pour appliquer ou surveiller la conformité produit par produit et version par version. Ces plans directeurs fournissent une approche standardisée de la sécurité et de la conformité, aidant les organisations à respecter les normes du secteur.

3. Consommer

Le pilier Consommer réduit les risques associés aux logiciels fournis par des tiers, qu'ils soient disponibles dans le commerce (COTS) ou dans des logiciels libres (OSS). Cela comprend l'évaluation des logiciels avant leur acquisition, la garantie de la transparence de leur composition, la réalisation de tests spécialisés et la mise en œuvre de processus robustes pour les SBOM et autres artefacts de sécurité.

Comment Scribe s'aligne sur le pilier Consommer :

• Plateforme collaborative pour les acteurs du SSCS : Scribe fournit une plateforme collaborative qui facilite la communication et le partage d'informations entre les parties prenantes SSCS à l'intérieur et à l'extérieur de l'organisation. Les fournisseurs de Scribe peuvent partager des SBOM, des avis Vulnerability Exchange (VEX) et des attestations de conformité, telles que la provenance SLSA, avec leurs clients.
• Source unifiée de la vérité : Scribe permet à divers intervenants internes (développeurs, centres d'opérations de sécurité (SOC), équipes de gouvernance, de risque et de conformité (GRC) et services juridiques) de visualiser une source de vérité unifiée. Cette vue centralisée applique des politiques de risque acceptables tout au long du cycle de vie du produit logiciel.
• Engagement proactif des fournisseurs : Scribe aide les entreprises à collaborer de manière proactive avec leurs fournisseurs pour garantir la conformité et la sécurité. Cela correspond à l'accent mis par Gartner sur la transparence et l'évaluation approfondie. La plateforme de Scribe permet aux entreprises de suivre les pratiques de sécurité des fournisseurs et de s'assurer que les logiciels tiers répondent à leurs normes de sécurité.
• Génération et gestion de SBOM : Scribe permet aux consommateurs de logiciels de générer des SBOM pour les artefacts logiciels reçus ou d'ingérer des SBOM et des données VEX fournies par les fournisseurs. Cette fonctionnalité permet aux consommateurs de maintenir un inventaire à jour de tous les composants utilisés dans les produits packagés, de surveiller les nouvelles vulnérabilités et de prendre des mesures opportunes pour atténuer les risques.
• Assistance en cas d'incident : Les preuves collectées et la lignée cartographiée des artefacts logiciels publiés créent une responsabilité et fournissent des informations médico-légales essentielles pour la réponse aux incidents. Cette capacité améliore la capacité de l'organisation à réagir rapidement et efficacement aux incidents de sécurité.

Pourquoi choisir Scribe Security?

Scribe Security propose une approche globale et intégrée de la sécurité de la chaîne d'approvisionnement logicielle, en accord avec l'accent mis par Gartner sur l'automatisation, la coordination et la gestion proactive des risques. La solution de Scribe est intégrée au SDLC de l'organisation, automatisant la génération de preuves de sécurité, appliquant des contrôles d'intégrité et de provenance et appliquant des politiques comme garde-fous tout au long du cycle de vie du logiciel.

Principaux avantages de Scribe Security :

• Automatisation de bout en bout : Scribe automatise les processus de sécurité, réduisant ainsi le besoin de surveillance manuelle et accélérant les contrôles de conformité. Cela comprend les contrôles de conformité automatisés pendant les phases de création et de déploiement, la signature des artefacts, la révision du code, la mise en œuvre de scanners de sécurité et la correction des vulnérabilités graves.
• Collaboration entre les parties prenantes : La plateforme Scribe améliore la collaboration entre les parties prenantes, en servant de source unique de vérité qui fournit le contexte, les informations sur la chaîne d'approvisionnement et le suivi des artefacts logiciels. Cela permet de coordonner les efforts de gestion de la sécurité entre différents services et avec des partenaires externes.
• Gestion des risques liés aux fournisseurs : Scribe améliore la gestion des risques liés aux fournisseurs en permettant aux organisations d'évaluer et de gérer les preuves critiques de la chaîne d'approvisionnement, telles que les SBOM, la provenance SLSA et les attestations de conformité. Cette capacité aide les producteurs et les consommateurs à s'assurer que leurs chaînes d'approvisionnement de logiciels répondent aux normes de sécurité et de réglementation.
• Intégration avec les scanners de sécurité des applications : Scribe s'intègre aux scanners de sécurité des applications les plus courants, permettant aux organisations d'appliquer des politiques de sécurité aux résultats et de maintenir une vue unifiée de leur posture de sécurité globale.

Prêt à transformer votre approche de la sécurité de la chaîne d’approvisionnement logicielle ?

Gartner Guide du responsable sur la sécurité de la chaîne d'approvisionnement des logiciels souligne la nécessité cruciale pour les organisations d'adopter des stratégies SSCS complètes et coordonnées. Les organisations peuvent gérer efficacement les risques, améliorer la sécurité et garantir la conformité aux exigences réglementaires en mettant en œuvre un cadre à trois piliers (Curate, Create et Consume) et en exploitant des outils et des processus avancés tels que ceux proposés par Scribe Security. L'impact financier croissant des attaques sur la chaîne d'approvisionnement en logiciels et l'évolution des environnements réglementaires obligent les organisations à donner la priorité aux efforts SSCS.

Voici une petite aide-mémoire qui résume comment vous pouvez utiliser la plateforme Scribe Security. Si vous souhaitez en savoir plus planifier une démo pour le voir en action.

articles similaires

IconBust, une nouvelle attaque NPM

Une nouvelle attaque contre la chaîne d'approvisionnement logicielle conçue pour extraire des données d'applications et de sites Web a été découverte dans plus de deux douzaines de packages NPM.

NIST SP 800-218 – Qu'est-ce que ce framework et comment l'utiliser

Le Secure Software Development Framework (SSDF) du NIST favorise la transparence et les mesures inviolables pour réduire le risque d'intervention malveillante et l'exposition aux vulnérabilités dans le cycle de vie du développement logiciel.

Graphique de dépendance CycloneDX SBOM – À quoi sert-il ?

Nous avons tous beaucoup entendu parler des SBOM récemment. Nous avons entendu parler de leur utilité, de leur composition et de leurs exigences en matière de sécurité et de réglementation. Cette fois, je veux prendre le temps de parler d'un segment un peu moins connu du SBOM CyclonDX : le Dependency Graph. Contrairement à son nom, le Dependency Graph n'est pas un […]