हाल के वर्षों में, हाई-प्रोफाइल सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों ने संगठनों को महत्वपूर्ण नुकसान पहुँचाया है। इन हमलों ने सॉफ़्टवेयर-आपूर्ति-श्रृंखला-संबंधित जोखिमों से निपटने के लिए बेहतर सुरक्षा प्रथाओं की आवश्यकता पर प्रकाश डाला है। परिणामस्वरूप, अमेरिकी सरकार ने नए साइबर नियमों और मानकों पर जोर दिया। इस तरह एसएलएसए और एसएसडीएफ की उत्पत्ति हुई।
ये ढाँचे कई क्षेत्रों को कवर करते हैं, जिनमें भेद्यता प्रबंधन, कोड अखंडता, उद्गम सत्यापन, घटना प्रतिक्रिया और सुरक्षित एसडीएलसी प्रक्रियाओं का प्रवर्तन शामिल है। हालाँकि, उन्हें लागू करना एक कठिन काम हो सकता है, खासकर सीमित संसाधनों वाले संगठनों के लिए।
स्क्राइब का प्लेटफॉर्म सॉफ्टवेयर निर्माताओं के लिए एक सुरक्षित बंदरगाह के रूप में कार्य करता है। यह सीमित संसाधनों के साथ भी एसएलएसए और एसएसडीएफ ढांचे के आसान अनुपालन को सक्षम बनाता है
स्क्राइब ग्राहकों को इसका अनुपालन करने में सक्षम बनाता है एसएसडीएफ ढांचा और एसएलएसए एक साक्ष्य-आधारित हब के माध्यम से पारदर्शिता को बढ़ावा देकर यह सुनिश्चित करता है कि सॉफ्टवेयर के साथ छेड़छाड़ नहीं की गई है।
समाधान संक्षिप्त प्राप्त करेंएनआईएसटी एसपी 800-218 (एसएसडीएफ) का अनुपालन
एसएसडीएफ का लक्ष्य संपूर्ण एसडीएलसी में होने वाली कमजोरियों की मात्रा और प्रभाव को कम करना है। अमेरिका में काम करने वाले या काम करने की योजना बनाने वाले विक्रेताओं को तुरंत प्रतिक्रिया देनी चाहिए और सीखना चाहिए कि एसएसडीएफ का अनुपालन कैसे किया जाए।
एसएसडीएफ कोई चेकलिस्ट नहीं है जिसका आपको पालन करना चाहिए, बल्कि सुरक्षित सॉफ्टवेयर विकास के लिए जोखिम-आधारित दृष्टिकोण की योजना बनाने और उसे लागू करने के लिए एक रोडमैप है। इसमें पारदर्शिता को बढ़ावा देना और सॉफ़्टवेयर को अनधिकृत उपयोगकर्ताओं द्वारा किसी भी छेड़छाड़ से बचाने के लिए साक्ष्य-आधारित रणनीति का उपयोग करना शामिल है।
स्क्राइब उपयोगकर्ता न केवल सुरक्षित विकास और निर्माण प्रक्रियाओं को सुनिश्चित करने के लिए या यह पुष्टि करने के लिए कि कोई छेड़छाड़ नहीं हुई है, सत्यापन पर एक नीति लागू कर सकते हैं, बल्कि वे एसएसडीएफ के अनुपालन का भी आकलन कर सकते हैं - जो नए अमेरिकी साइबर विनियमन का आधार है।
संपूर्ण एसएसडीएफ गाइड प्राप्त करेंएसएसडीएफ के भीतर पीएस (सॉफ्टवेयर को सुरक्षित रखें) प्रथाओं के समूह पर ध्यान केंद्रित करने के लिए स्क्राइब पहला समाधान है
एसएलएसए के कुछ तत्वों के साथ संयुक्त, प्रसिद्ध सीआईएस सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा बेंचमार्क के आधार पर, स्क्राइब स्रोत कोड के सुरक्षा स्तर को निर्धारित करने के लिए एक नियम-आधारित मूल्यांकन करता है।
उपयोग मामला पढ़ेंएसएलएसए ढांचे का अनुपालन करें
एसएलएसए सुरक्षा नियंत्रणों और मानकों की एक व्यापक जाँच सूची है जो सॉफ़्टवेयर अखंडता सुनिश्चित करती है। डेवलपर्स, संगठनों और व्यवसायों को सुरक्षित सॉफ़्टवेयर बनाने और उपभोग करने के तरीके के बारे में सूचित विकल्प चुनने में मदद करने के अलावा, यह संपूर्ण सॉफ़्टवेयर विकास जीवनचक्र को सुरक्षित करने के लिए चरणों की 4 बढ़ती श्रृंखला का प्रस्ताव करता है।
स्क्राइब का उपयोग करके, उपयोगकर्ता एसएलएसए के साथ अनुपालन सत्यापन को स्वचालित कर सकते हैं। इसके अलावा, उन विशिष्ट क्षेत्रों में जहां वे अनुपालन नहीं करते हैं, स्क्राइब अंतर को पाटने के लिए कार्रवाई योग्य सिफारिशों का एक सेट प्रदान करता है। यह सॉफ्टवेयर निर्माताओं के लिए एक बड़ी समस्या का समाधान करता है, जिन्हें 2024 तक अमेरिका के नेतृत्व वाले नए विनियमन का अनुपालन करने की आवश्यकता है।
उपयोग मामला पढ़ेंआसानी से सत्यापित करें कि SW बिल्ड SLSA स्तर 2 या स्तर 3 आवश्यकताओं का अनुपालन करता है
स्क्राइब आपको अपने प्रत्येक बिल्ड पाइपलाइन के हिस्से के रूप में एसएलएसए उद्गम बनाने में सक्षम बनाता है, यह देखता है कि कौन सी एसएलएसए आवश्यकता पूरी हुई है या विफल हुई है, और किसी भी समस्या का तुरंत समाधान करता है और बिल्ड को अनुपालन में लाता है।
फिर आप एकत्रित साक्ष्यों को संबंधित हितधारकों के साथ आसानी से साझा कर सकते हैं, आत्मविश्वास से अपने निर्माण या उत्पाद अनुपालन का प्रदर्शन कर सकते हैं।
अन्य उपकरणों की तुलना में लेखक का लाभ
केवल उद्गम दस्तावेज़ तैयार करने के बजाय संपूर्ण नीति का मूल्यांकन करता है
निर्माता नीतियों की एक श्रृंखला के रूप में अपनी पाइपलाइनों के बारे में प्रासंगिक एसएलएसए जानकारी एकत्र कर सकते हैं
निर्माता इन नीतियों को अपनी पाइपलाइन पर लागू करना चुन सकते हैं और जांच सकते हैं कि नीति पारित हो गई है या विफल हो गई है
सभी पॉलिसियों के पारित होने का मतलब है कि आप एसएलएसए स्तर 3 के अनुरूप हैं।
एसएसडीएफ और एसएलएसए फ्रेमवर्क कई क्षेत्रों को कवर करते हैं, जिनमें भेद्यता प्रबंधन, कोड अखंडता, उद्गम सत्यापन और सुरक्षित एसडीएलसी प्रक्रियाओं का प्रवर्तन शामिल है। हालाँकि, उन्हें लागू करना एक कठिन काम हो सकता है, खासकर उन संगठनों के लिए जिनके पास सीमित संसाधन हैं। इसके अलावा, नए संघीय विनियमन या ग्राहकों की आवश्यकताओं के जवाब में स्पष्ट तरीके से अनुपालन प्रदर्शित करने की आवश्यकता तुच्छ से बहुत दूर है।
स्क्राइब के साथ, आप यह कर सकते हैं:
एसबीओएम उत्पन्न करें, प्रबंधित करें और साझा करें
स्क्राइब वाणिज्यिक सॉफ्टवेयर विक्रेताओं और इंटीग्रेटर्स को सॉफ्टवेयर आपूर्ति श्रृंखला में डाउनस्ट्रीम उपभोक्ताओं और अन्य हितधारकों के साथ कमजोरियों को ट्रैक करने, उत्पन्न करने, प्रबंधित करने और एसबीओएम साझा करने की अनुमति देता है।
एसबीओएम एक्सेस प्रबंधित करें
स्क्राइब एसबीओएम तक पहुंच की अनुमति देने के लिए संविदात्मक दायित्वों की अनुमति देता है। यह VEX (एक CISA मानक) के माध्यम से भेद्यता जोखिम का भी संचार करता है।
सुरक्षा स्तर निर्धारित करें
सीआईएस सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा बेंचमार्किंग और एसएलएसए के कुछ तत्वों के आधार पर, स्क्राइब बिल्ड पाइपलाइन के सुरक्षा स्तर को निर्धारित करने के लिए एक नियम-आधारित मूल्यांकन करता है।