Assicurati di avere quanto necessario per rispettare i requisiti del modulo
L’adozione delle migliori pratiche per la sicurezza della catena di fornitura del software si trova attualmente in un momento di svolta simile alla pubblicazione dei requisiti di conformità PCI nel 2006. Proprio come allora, il nuovo regolamento sta aggiungendo requisiti significativi da parte della leadership aziendale, in questo caso, per attestare la sicurezza del loro software e gli esatti mezzi utilizzati per ottenerla.
Il modulo di attestazione di sviluppo software sicuro proposto, sebbene ancora in una bozza finale, presentato dal DHS – CISA su richiesta della nota M-23-16 dell'OMB e in precedenza nella nota M-22-18, è un obbligo con significativi passività che lo accompagnano. Richiede la firma dei vertici dell'azienda, garantendo il rispetto dei requisiti del modulo. Esiste un'aspettativa espressa che quella persona/e sia in grado di supportare la propria firma con le prove appropriate nel caso in cui si verificasse un attacco alla catena di fornitura del software.
Le quattro clausole del modulo coprono un'ampia gamma di requisiti ma non offrono indicazioni su come conformarsi. L'ampia varietà di stack tecnologici, ambienti cloud, strumenti CI/CD e configurazioni presenti nel settore rende difficile raccogliere tutte le varie prove richieste nel modulo.
Inoltre, c’è il problema dei tempi di verifica. A meno che l’azienda non raccolga continuamente prove, potrà fare ben poco per dimostrare che stava seguendo le migliori pratiche sottoscritte.
Raccogliere automaticamente e continuamente le prove in modo affidabile e verificare costantemente le politiche SDLC definite e sottoscritte dall'azienda è il modo giusto per dimostrare che i requisiti del modulo sono stati rispettati.
Ottieni questo libro bianco per esplorare come Scribe può aiutarti a raccogliere e firmare automaticamente prove come prova per creare fiducia nel software.
Consigliamo cosa dovrebbe far parte delle prove richieste, inclusi file di registro, schermate, file di configurazione e così via. Sappiamo come raccogliere prove da strumenti di terze parti e includerle con il resto delle prove per SDLC e creare pipeline. Aiutiamo a prendere queste prove e a trasformarle in attestazioni irrefutabili e immutabili che vengono salvate in un archivio sicuro.
Tali prove possono fungere da attestati validi per la conformità SLSA o SSDF. Ogni azienda può personalizzare le proprie policy in base al modello di verifica del segno.
La piattaforma Scribe include tutte le prove raccolte in un formato facile da interrogare e segmentare. È possibile esaminare la vista SBOM aggregata di tutte le build e i prodotti, un rapporto completo sui componenti obsoleti, un rapporto completo sulle vulnerabilità (che include un Punteggio CVSS e Probabilità dell'EPSS) e un rapporto sulla reputazione della biblioteca basato su Scheda punteggi OpenSSF progetto.
