Ces dernières années, des attaques très médiatisées contre la chaîne d’approvisionnement logicielle ont causé des dommages importants aux organisations. Ces attaques ont mis en évidence la nécessité de meilleures pratiques de sécurité pour faire face aux risques liés à la chaîne d'approvisionnement logicielle. En conséquence, le gouvernement américain a fait pression pour de nouvelles réglementations et normes en matière de cybersécurité. C’est ainsi que sont nés SLSA et SSDF.
Ces cadres couvrent un large éventail de domaines, notamment la gestion des vulnérabilités, l'intégrité du code, la validation de la provenance, la réponse aux incidents et l'application de processus SDLC sécurisés. Cependant, leur mise en œuvre peut s’avérer une tâche ardue, en particulier pour les organisations disposant de ressources limitées.
La plateforme Scribe sert de refuge aux producteurs de logiciels. Il permet une conformité facile aux cadres SLSA et SSDF, même avec des ressources limitées.
Scribe permet aux clients de se conformer aux Cadre SSDF et SLSA en promouvant la transparence grâce à un hub basé sur des preuves qui garantit que le logiciel n'a pas été falsifié.
Obtenir une présentation de la solutionConforme à la norme NIST SP 800-218 (SSDF)
Le SSDF vise à réduire le volume et l’impact des vulnérabilités qui surviennent dans l’ensemble du SDLC. Les fournisseurs opérant ou envisageant d’opérer aux États-Unis doivent réagir rapidement et apprendre à se conformer au SSDF.
Le SSDF n'est pas une liste de contrôle que vous devez suivre, mais plutôt une feuille de route pour planifier et mettre en œuvre une approche basée sur les risques pour sécuriser le développement de logiciels. Cela implique de promouvoir la transparence et d'utiliser une stratégie fondée sur des preuves pour protéger les logiciels de toute falsification par des utilisateurs non autorisés.
Les utilisateurs de Scribe peuvent non seulement appliquer une politique sur les attestations pour garantir la sécurité des processus de développement et de construction ou pour valider qu'aucune falsification n'a eu lieu, mais ils peuvent également évaluer la conformité avec le SSDF, la base de la nouvelle cyber-réglementation américaine.
Obtenez le guide SSDF completScribe est la première solution à se concentrer sur le groupe de pratiques PS (Protect the Software) au sein du SSDF
Scribe effectue une évaluation basée sur des règles pour déterminer le niveau de protection du code source, sur la base du référentiel bien connu CIS Software Supply Chain Security, combiné à certains éléments de SLSA.
Lire le cas d'utilisationSe conformer au cadre SLSA
SLSA est une liste de contrôle complète des contrôles et des normes de sécurité qui garantissent l'intégrité des logiciels. En plus d'aider les développeurs, les organisations et les entreprises à faire des choix éclairés sur la manière de créer et d'utiliser des logiciels sécurisés, il propose 4 séries d'étapes croissantes pour sécuriser l'ensemble du cycle de vie du développement logiciel.
Grâce à Scribe, les utilisateurs peuvent automatiser la validation de conformité avec SLSA. En plus de cela, dans les domaines spécifiques où ils ne sont pas conformes, Scribe fournit un ensemble de recommandations concrètes pour combler l'écart. Cela résout un énorme problème pour les producteurs de logiciels qui doivent se conformer à la nouvelle réglementation américaine d’ici 2024.
Lire le cas d'utilisationVérifiez facilement que les versions logicielles sont conformes aux exigences SLSA niveau 2 ou niveau 3
Scribe vous permet de créer une provenance SLSA dans le cadre de chacun de vos pipelines de builds, de voir exactement quelle exigence SLSA a réussi ou échoué, de résoudre rapidement tout problème et de mettre la build en conformité.
Vous pouvez ensuite facilement partager les preuves collectées avec les parties prenantes concernées, démontrant en toute confiance la conformité de votre construction ou de votre produit.
L'avantage de Scribe par rapport aux autres outils
Évalue l’ensemble de la politique plutôt que de simplement produire un document de provenance
Les producteurs peuvent collecter des informations SLSA pertinentes sur leurs pipelines, sous la forme d'une série de politiques
Les producteurs peuvent choisir d'appliquer ces politiques sur leur pipeline et vérifier si la politique a été adoptée ou échouée.
Toutes les politiques adoptées signifient que vous vous conformez au niveau SLSA 3.
Les cadres SSDF et SLSA couvrent un large éventail de domaines, notamment la gestion des vulnérabilités, l'intégrité du code, la validation de la provenance et l'application de processus SDLC sécurisés. Cependant, leur mise en œuvre peut s’avérer une tâche ardue, en particulier pour les organisations disposant de ressources limitées. De plus, la nécessité de démontrer la conformité de manière sans équivoque en réponse à la nouvelle réglementation fédérale ou aux exigences des clients est loin d'être anodine.
Avec Scribe, vous pouvez :
Générer, gérer et partager des SBOM
Scribe permet aux fournisseurs et intégrateurs de logiciels commerciaux de suivre les vulnérabilités, de générer, de gérer et de partager des SBOM avec les consommateurs en aval et d'autres parties prenantes de la chaîne d'approvisionnement logicielle.
Gérer l'accès au SBOM
Scribe autorise les obligations contractuelles pour permettre l'accès aux SBOM. Il communique également le risque de vulnérabilité via VEX (une norme CISA).
Déterminer le niveau de protection
Sur la base de l'analyse comparative CIS Software Supply Chain Security et de certains éléments de SLSA, Scribe effectue une évaluation basée sur des règles pour déterminer le niveau de protection du pipeline de build.