सुनिश्चित करें कि आपके पास फ़ॉर्म की आवश्यकताओं का पालन करने के लिए आवश्यक चीज़ें मौजूद हैं
सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा सर्वोत्तम प्रथाओं को अपनाना वर्तमान में 2006 में पीसीआई अनुपालन आवश्यकताओं के प्रकाशन के समान एक महत्वपूर्ण क्षण में है। ठीक उसी तरह, इस मामले में, नया विनियमन कंपनी नेतृत्व से महत्वपूर्ण आवश्यकताओं को जोड़ रहा है, ताकि इसे प्रमाणित किया जा सके। उनके सॉफ़्टवेयर की सुरक्षा और इसे प्राप्त करने के लिए उपयोग किए जाने वाले सटीक साधन।
प्रस्तावित सिक्योर सॉफ्टवेयर डेवलपमेंट अटेस्टेशन फॉर्म, हालांकि अभी भी अंतिम ड्राफ्ट संस्करण में है, ओएमबी के एम-23-16 मेमो की आवश्यकता पर और पहले एम-22-18 मेमो की आवश्यकता पर डीएचएस - सीआईएसए द्वारा प्रस्तुत किया गया है, यह महत्वपूर्ण दायित्व है इसके साथ जुड़ी देनदारियां। इसमें कंपनी के नेतृत्व के हस्ताक्षर की आवश्यकता होती है, जो यह गारंटी देता है कि वे फॉर्म की आवश्यकताओं का अनुपालन करते हैं। सॉफ़्टवेयर आपूर्ति श्रृंखला पर हमला होने पर उस व्यक्ति/व्यक्तियों से उचित साक्ष्य के साथ अपने हस्ताक्षर का समर्थन करने में सक्षम होने की अपेक्षा व्यक्त की गई है।
फॉर्म के चार खंड आवश्यकताओं की एक विस्तृत श्रृंखला को कवर करते हैं, फिर भी अनुपालन कैसे करें, इस पर कोई मार्गदर्शन नहीं देते हैं। उद्योग में पाए जाने वाले तकनीकी स्टैक, क्लाउड वातावरण, सीआई/सीडी उपकरण और कॉन्फ़िगरेशन की विस्तृत विविधता के कारण फॉर्म में आवश्यक सभी विविध साक्ष्य एकत्र करना कठिन हो जाता है।
इसके अतिरिक्त, सत्यापन समय का मुद्दा भी है। जब तक कंपनी लगातार साक्ष्य एकत्र नहीं करती, तब तक वह यह साबित करने के लिए कुछ नहीं कर पाएगी कि वह हस्ताक्षरित सर्वोत्तम प्रथाओं का पालन कर रही थी।
विश्वसनीय तरीके से स्वचालित रूप से और लगातार साक्ष्य एकत्र करना और कंपनी द्वारा परिभाषित और हस्ताक्षरित एसडीएलसी नीतियों को लगातार सत्यापित करना यह साबित करने का सही तरीका है कि फॉर्म की आवश्यकताओं का पालन किया गया था।
यह श्वेत पत्र प्राप्त करें यह पता लगाने के लिए कि सॉफ़्टवेयर में विश्वास बनाने के लिए सबूत के रूप में स्क्राइब आपको स्वचालित रूप से साक्ष्य एकत्र करने और हस्ताक्षर करने में कैसे मदद कर सकता है।
हम सलाह देते हैं कि आवश्यक साक्ष्य का हिस्सा क्या होना चाहिए, जिसमें लॉग फ़ाइलें, स्क्रीनशॉट, कॉन्फ़िगरेशन फ़ाइलें इत्यादि शामिल हैं। हम जानते हैं कि तीसरे पक्ष के टूल से साक्ष्य कैसे एकत्र करें और इसे एसडीएलसी के लिए बाकी साक्ष्यों के साथ कैसे शामिल करें और पाइपलाइन बनाएं। हम इस साक्ष्य को लेने और इसे अकाट्य, अपरिवर्तनीय सत्यापन में बदलने में मदद करते हैं जो एक सुरक्षित स्टोर में सहेजे जाते हैं।
ऐसे साक्ष्य एसएलएसए या एसएसडीएफ अनुपालन के लिए वैध सत्यापन के रूप में काम कर सकते हैं। प्रत्येक कंपनी साइन-सत्यापन मॉडल के आधार पर अपनी नीतियों को अनुकूलित कर सकती है।
स्क्राइब प्लेटफ़ॉर्म में एकत्र किए गए सभी साक्ष्यों को आसानी से पूछे जाने वाले और खंडित रूप में शामिल किया गया है। कोई भी सभी बिल्ड और उत्पादों के समग्र एसबीओएम दृश्य, एक पूर्ण पुरानी घटक रिपोर्ट, एक व्यापक कमजोरियों की रिपोर्ट (जिसमें एक शामिल है) की जांच कर सकता है CVSS स्कोर और एक ईपीएसएस संभावना), और एक पुस्तकालय प्रतिष्ठा रिपोर्ट पर आधारित ओपनएसएसएफ स्कोरकार्ड परियोजना.