Negli ultimi anni, attacchi alla supply chain di software di alto profilo hanno causato danni significativi alle organizzazioni, spingendo il governo degli Stati Uniti a spingere per nuove normative e standard informatici. Ciò ha portato allo sviluppo di framework chiave come SLSA e SSDF, insieme al FedRAMP Authorization Act che è diventato l'approccio autorevole per la sicurezza del cloud computing nell'elaborazione delle informazioni federali.
Questi framework affrontano in modo completo la sicurezza del software tramite la gestione delle vulnerabilità, l'integrità del codice, la convalida della provenienza, la risposta agli incidenti e i processi SDLC sicuri. Sebbene implementarli possa essere impegnativo, soprattutto per le organizzazioni con risorse limitate, troverai informazioni dettagliate su ciascun framework e sui suoi requisiti specifici scorrendo questa pagina.
La piattaforma di Scribe funge da porto sicuro per i produttori di software. Consente una facile conformità ai framework SLSA e SSDF, anche con risorse limitate
Scribe consente ai clienti di rispettare le norme Quadro SSDF e SLSA promuovendo la trasparenza attraverso un hub basato sull'evidenza che garantisce che il software non sia stato manomesso.
Ottieni il brief della soluzione
Rispettare NIST SP 800-218 (SSDF)
L'SSDF mira a ridurre il volume e l'impatto delle vulnerabilità che si verificano nell'intero SDLC. I fornitori che operano o intendono operare negli Stati Uniti devono reagire rapidamente e imparare a conformarsi alla SSDF.
L'SSDF non è una lista di controllo da seguire, ma piuttosto una tabella di marcia per pianificare e implementare un approccio basato sul rischio per proteggere lo sviluppo del software. Ciò include la promozione della trasparenza e l’utilizzo di una strategia basata sull’evidenza per proteggere il software da eventuali manomissioni da parte di utenti non autorizzati.
Gli utenti di Scribe non solo possono applicare una policy sulle attestazioni per garantire processi di sviluppo e creazione sicuri o per verificare che non siano avvenute manomissioni, ma possono anche valutare la conformità con la SSDF, la base della nuova regolamentazione informatica statunitense
Ottieni la guida completa SSDF
Scribe è la prima soluzione a focalizzarsi sul gruppo di pratiche PS (Protect the Software) all'interno della SSDF
Scribe conduce una valutazione basata su regole per determinare il livello di protezione del codice sorgente, sulla base del noto benchmark CIS Software Supply Chain Security, combinato con alcuni elementi di SLSA.
Leggi caso d'uso
Rispettare il quadro SLSA
SLSA è un elenco di controllo completo di controlli e standard di sicurezza che garantiscono l'integrità del software. Oltre ad aiutare sviluppatori, organizzazioni e aziende a fare scelte informate su come creare e utilizzare software sicuro, propone 4 serie crescenti di passaggi per proteggere l'intero ciclo di vita dello sviluppo del software.
Utilizzando Scribe, gli utenti possono automatizzare la convalida della conformità con SLSA. Oltre a ciò, nelle aree specifiche in cui non sono conformi, Scribe fornisce una serie di raccomandazioni attuabili per colmare il divario. Ciò risolve un enorme problema per i produttori di software che devono conformarsi alla nuova regolamentazione guidata dagli Stati Uniti entro il 2024.
Leggi caso d'uso
Verifica facilmente che le build SW siano conformi ai requisiti SLSA di livello 2 o livello 3
Scribe ti consente di creare la provenienza SLSA come parte di ciascuna pipeline delle tue build, vedere esattamente quale requisito SLSA ha superato o fallito e risolvere rapidamente eventuali problemi e rendere conforme la build.
Puoi quindi condividere facilmente le prove raccolte con le parti interessate pertinenti, dimostrando con sicurezza la conformità della tua build o del tuo prodotto.
Ottieni la conformità FedRAMP più velocemente, con meno risorse, mantenendo la velocità di sviluppo
La piattaforma Scribe Security offre funzionalità essenziali per semplificare e automatizzare i processi di conformità, garantendo tempi di certificazione più rapidi con un minimo sforzo manuale:
- Gestione automatizzata SBOM
- Guardrail come codice per la governance SDLC
- Garanzia continua: firma del codice e verifica della provenienza
- Scansione delle vulnerabilità e gestione dei rischi
- Conformità e reporting basati sulle prove
Il vantaggio di Scribe rispetto ad altri strumenti
Valuta l'intera polizza anziché limitarsi a produrre un documento di provenienza
I produttori possono raccogliere informazioni SLSA rilevanti sulle loro condutture, sotto forma di una serie di politiche
I produttori possono scegliere di attuare queste politiche nella loro pipeline e verificare se la politica è stata superata o meno
Il superamento di tutte le policy significa che sei conforme al livello 3 SLSA.
I framework SSDF e SLSA coprono un'ampia gamma di aree, tra cui la gestione delle vulnerabilità, l'integrità del codice, la convalida della provenienza e l'applicazione di processi SDLC sicuri. Tuttavia, la loro implementazione può essere un compito arduo, soprattutto per le organizzazioni che dispongono di risorse limitate. Inoltre, la necessità di dimostrare la conformità in modo inequivocabile in risposta alla nuova regolamentazione federale o alle esigenze dei clienti è tutt'altro che banale.
Con Scribe puoi:
Genera, gestisci e condividi SBOM
Scribe consente ai fornitori e agli integratori di software commerciale di tenere traccia delle vulnerabilità, generare, gestire e condividere SBOM con i consumatori a valle e altre parti interessate nella catena di fornitura del software.
Gestire l'accesso alla SBOM
Scribe consente agli obblighi contrattuali di consentire l'accesso alle SBOM. Comunica inoltre il rischio di vulnerabilità tramite VEX (uno standard CISA).
Determinare il livello di protezione
Sulla base del benchmarking CIS Software Supply Chain Security e di alcuni elementi di SLSA, Scribe conduce una valutazione basata su regole per determinare il livello di protezione della pipeline di creazione.
