Comment signer le nouveau formulaire d'auto-attestation CISA tout en dormant bien la nuit

L'adoption des meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement logicielle se situe actuellement à un moment décisif, similaire à la publication des exigences de conformité PCI en 2006. Tout comme à cette époque, la nouvelle réglementation ajoute des exigences importantes de la part des dirigeants de l'entreprise, dans ce cas, pour attester de la la sécurité de leurs logiciels et les moyens exacts utilisés pour y parvenir.

Le formulaire d'attestation de développement de logiciel sécurisé proposé, bien qu'il soit encore dans une version finale, présenté par le DHS – CISA conformément aux exigences du mémo M-23-16 de l'OMB et plus tôt dans le mémo M-22-18, est une obligation avec d'importantes les dettes qui l'accompagnent. Il nécessite la signature des dirigeants de l'entreprise, garantissant qu'ils respectent les exigences du formulaire. Il existe une attente exprimée que cette ou ces personnes soient en mesure d'étayer leur signature avec les preuves appropriées en cas d'attaque de la chaîne d'approvisionnement logicielle. 

Les quatre clauses du formulaire couvrent un large éventail d'exigences mais n'offrent aucune indication sur la manière de s'y conformer. La grande variété de piles technologiques, d'environnements cloud, d'outils CI/CD et de configurations trouvés dans l'industrie rend difficile la collecte de toutes les preuves variées requises dans le formulaire.

Se pose également la question du calendrier de vérification. À moins que l’entreprise ne collecte continuellement des preuves, elle ne pourra pas faire grand-chose pour prouver qu’elle a suivi les meilleures pratiques adoptées. 

La collecte automatique et continue des preuves de manière fiable et la vérification constante des politiques SDLC définies et signées par l'entreprise sont le bon moyen de prouver que les exigences du formulaire ont été respectées.   

Obtenez ce livre blanc pour découvrir comment Scribe peut vous aider à collecter et signer automatiquement des preuves pour renforcer la confiance dans les logiciels. 

Nous vous conseillons sur ce qui devrait faire partie des preuves requises, notamment les fichiers journaux, les captures d'écran, les fichiers de configuration, etc. Nous savons comment collecter des preuves à partir d'outils tiers et les inclure avec le reste des preuves pour SDLC et construire des pipelines. Nous aidons à prendre ces preuves et à les transformer en attestations irréfutables et immuables qui sont enregistrées dans un magasin sécurisé.

Ces preuves peuvent servir d’attestations valides de conformité SLSA ou SSDF. Chaque entreprise peut personnaliser ses propres politiques basées sur le modèle de vérification de signature.

La plateforme Scribe comprend toutes les preuves collectées sous une forme segmentée et facile à interroger. On peut examiner la vue SBOM agrégée de toutes les versions et produits, un rapport complet sur les composants obsolètes, un rapport complet sur les vulnérabilités (qui comprend un Score CVSS et le probabilité EPSS), et un rapport sur la réputation de la bibliothèque basé sur Tableau de bord OpenSSF .

Toutes les ressources

Dernières ressources

Howard Holton de GigaOm s'entretient avec Doron Peri, vice-président des produits chez Scribe Security, pour discuter de la chaîne d'approvisionnement en logiciels et d'autres problèmes chez Blackhat
Regardez l'enregistrement de notre panel Balck Hat 2024, « De la confiance à l'assurance continue fondée sur des preuves : l'avenir de la gouvernance et de la conformité en matière de sécurité ». Cela a suscité de grandes réactions…