SDLC, sécurité de la chaîne d'approvisionnement et conformité au-delà de GitHub

Tous Les Articles

Doron Péri

La plupart des entreprises de logiciels utilisent plusieurs plates-formes pour la gestion, la création, l'enregistrement, la livraison et le déploiement du code. La gestion de la sécurité du SDLC et de la chaîne d'approvisionnement logicielle nécessite une plate-forme unifiée qui s'étend au-delà des capacités natives de GitHub. Une gestion efficace des risques exige une traçabilité et une gouvernance claires du code au cloud, garantissant que chaque image de conteneur et chaque artefact publié sont liés à leur source.

Les organisations utilisent divers outils pour le développement d'applications sécurisées. Cela crée un besoin de gérer et d'attester leurs résultats dans le cadre d'un processus de développement sécurisé (comme l'exige l'EO 14144). Cette attestation comprend des preuves telles que les SBOM et les résultats de mesures de sécurité telles que l'analyse de révision de code, la signature d'artefacts, l'isolation de build et la capture de provenance.

Les applications modernes sont complexes et impliquent souvent plusieurs artefacts tels que des images de conteneur et des versions composites. La gestion du cycle de vie du développement logiciel et de la sécurité de la chaîne d'approvisionnement au niveau du produit, de la version et de la version est essentielle pour générer les attestations nécessaires et analyser les risques.

Scribe Security répond à ces défis en proposant :

Application des politiques contextuelles

  • Les politiques de sécurité personnalisées sont appliquées sous forme de contrôles fermés aux étapes critiques (code, création et déploiement) pour garantir que les mesures de sécurité requises sont appliquées tout au long du processus de développement.
  • Les politiques de Scribe sont gérées sous forme de code via GitOps, fournissant un catalogue de 150 politiques de sécurité prédéfinies mappées à des cadres de conformité qui peuvent être dupliqués, personnalisés et étendus.
  • Ces politiques sont contrôlées par version, ce qui garantit qu'elles restent inviolables et appliquées de manière cohérente tout au long du SDLC.

Comparaison GitHub :

  • Options de configuration : GitHub propose des paramètres de sécurité (protections des branches, révisions obligatoires, analyse secrète, etc.) qui peuvent être configurés par référentiel ou organisation.
  • Limites de la portée : Bien que les tableaux de bord GitHub (par exemple, Présentation de la sécurité) offrent une visibilité, ils n'appliquent pas de politiques sur l'ensemble du SDLC.

Intégrité

  • Scribe fournit la signature de code et d'artefacts, avec validation à plusieurs portes (par exemple, contrôle de build et d'admission).
  • La plateforme prend en charge la signature avec des clés gérées par le client à l'aide des intégrations PKI et Sigstore.

Comparaison GitHub :

  • Attestations d'artefacts: Les actions GitHub peuvent générer des attestations qui capturent la provenance de la build et sont signées avec Sigstore. 
  • Dépend de la configuration:Cela nécessite une configuration délibérée et ne prend pas en charge la signature avec des clés gérées par le client et la validation à plusieurs points de validation.

Conformité et assurance de la chaîne d'approvisionnement

  • Scribe génère en continu des attestations lisibles par machine qui sont conformes à des cadres tels que SLSA et à des réglementations telles que EO 14144.
  • Les attestations de sécurité intégrées capturent les preuves du processus de développement et peuvent être agrégées aux niveaux de l'artefact, du produit et de la version à des fins d'audit et de conformité.

Comparaison GitHub :

  • Provenance des artefacts et SBOM : GitHub prend en charge la provenance des builds et peut exporter des données SBOM, mais ces fonctionnalités fonctionnent au niveau du référentiel ou de l'artefact et nécessitent une agrégation manuelle pour les rapports à l'échelle de l'entreprise.

Analyse de risque

  • Scribe évalue en permanence les risques tout au long du SDLC en détectant les vulnérabilités, en identifiant les violations d'intégrité, en signalant les charges de travail orphelines et en surveillant les violations de la politique SDLC.
  • Cette analyse intégrée des risques fournit des informations exploitables pour prioriser les mesures correctives.

GitHub Comparaison:

  • Alertes de vulnérabilité : GitHub propose des alertes via des outils tels que Dependabot et CodeQL, mais les données de risque sont souvent cloisonnées par un référentiel sans analyse intégrée des problèmes plus larges de politique ou d'intégrité.

Découverte continue et génération de lignées

  • Scribe automatise la découverte des ressources de développement et crée des lignées claires de code vers le cloud tout en identifiant les charges de travail de production orphelines qui manquent de traçabilité.

Comparaison GitHub :

  • Tableaux de bord de sécurité : la présentation de la sécurité de GitHub fournit des informations sur les vulnérabilités et les configurations des référentiels.
  • Découverte limitée : GitHub ne découvre pas automatiquement tous les actifs de développement ni ne fournit une lignée de bout en bout du code au cloud.

Résumé

Bien que GitHub propose une gamme de fonctionnalités de sécurité, elles nécessitent souvent une configuration manuelle et manquent d'une surveillance unifiée et continue sur l'ensemble du cycle de vie du logiciel. Scribe Security comble ces lacunes en offrant une visibilité de bout en bout, une application contextuelle des politiques, des attestations intégrées et une analyse complète des risques tout au long du cycle de vie du logiciel.

Bien entendu, les fonctionnalités de sécurité de GitHub sont limitées à GitHub, tandis que Scribe Security couvre toutes les plateformes DevOps et les outils CI/CD.

Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.

articles similaires

Empoisonnement du cache
Empoisonnement du cache GitHub

Savez-vous ce qui se passe sous le capot de votre CI ? Sans une compréhension approfondie, vous pourriez être vulnérable aux attaques innovantes de la chaîne d’approvisionnement. Cet article décrit une telle attaque.

Image d'une porte dérobée
Outils SBOM à la rescousse – le cas de porte dérobée XZ Utils

Qu'est-ce que la porte dérobée de XZ Utils (CVE-2024-3094) ? CVE-2024-3094, publiée début avril 2024, est une porte dérobée insérée de manière malveillante dans un utilitaire Linux. Il a été détecté par Andres Freund, un ingénieur logiciel Microsoft curieux et soucieux de la sécurité, sur le point d'être intégré aux principales distributions Linux. Si cela avait réussi, un nombre inimaginable de serveurs […]

Image de fonctionnalité
Comment éviter l’épuisement des CVE et la fatigue des alertes lors des analyses de vulnérabilité ?

Les analyses CVE (Common Vulnerabilities and Exposures) sont essentielles à la sécurisation de vos applications logicielles. Cependant, avec la complexité croissante des piles logicielles, identifier et traiter tous les CVE peut s'avérer difficile. L'un des plus gros problèmes des analyses CVE aujourd'hui est la prévalence des faux positifs, où une vulnérabilité est identifiée dans un package qui n'est pas [...]

Messages populaires
SDLC, sécurité de la chaîne d'approvisionnement et conformité au-delà de GitHubComprendre et respecter le nouveau décret fédéral EO 14144 sur la sécurité des logiciels : un guide pratiqueComment intégrer les SBOM dans l'ensemble du SDLCSe défendre contre les récentes attaques contre la chaîne d'approvisionnement de logiciels : leçons et stratégies
Catégories