Negli ultimi anni, gli attacchi alla catena di fornitura di software di alto profilo hanno causato danni significativi alle organizzazioni. Questi attacchi hanno evidenziato la necessità di migliori pratiche di sicurezza per affrontare i rischi legati alla catena di fornitura del software. Di conseguenza, il governo degli Stati Uniti ha spinto per nuove normative e standard informatici. È così che sono nati SLSA e SSDF.
Questi framework coprono un’ampia gamma di aree, tra cui la gestione delle vulnerabilità, l’integrità del codice, la convalida della provenienza, la risposta agli incidenti e l’applicazione di processi SDLC sicuri. Tuttavia, la loro attuazione può rivelarsi un compito arduo, soprattutto per le organizzazioni con risorse limitate.
La piattaforma di Scribe funge da porto sicuro per i produttori di software. Consente una facile conformità ai framework SLSA e SSDF, anche con risorse limitate
Scribe consente ai clienti di rispettare le norme Quadro SSDF e SLSA promuovendo la trasparenza attraverso un hub basato sull'evidenza che garantisce che il software non sia stato manomesso.
Ottieni il brief della soluzione
Rispettare NIST SP 800-218 (SSDF)
L'SSDF mira a ridurre il volume e l'impatto delle vulnerabilità che si verificano nell'intero SDLC. I fornitori che operano o intendono operare negli Stati Uniti devono reagire rapidamente e imparare a conformarsi alla SSDF.
L'SSDF non è una lista di controllo da seguire, ma piuttosto una tabella di marcia per pianificare e implementare un approccio basato sul rischio per proteggere lo sviluppo del software. Ciò include la promozione della trasparenza e l’utilizzo di una strategia basata sull’evidenza per proteggere il software da eventuali manomissioni da parte di utenti non autorizzati.
Gli utenti di Scribe non solo possono applicare una policy sulle attestazioni per garantire processi di sviluppo e creazione sicuri o per verificare che non siano avvenute manomissioni, ma possono anche valutare la conformità con la SSDF, la base della nuova regolamentazione informatica statunitense
Ottieni la guida completa SSDF
Scribe è la prima soluzione a focalizzarsi sul gruppo di pratiche PS (Protect the Software) all'interno della SSDF
Scribe conduce una valutazione basata su regole per determinare il livello di protezione del codice sorgente, sulla base del noto benchmark CIS Software Supply Chain Security, combinato con alcuni elementi di SLSA.
Leggi caso d'uso
Rispettare il quadro SLSA
SLSA è un elenco di controllo completo di controlli e standard di sicurezza che garantiscono l'integrità del software. Oltre ad aiutare sviluppatori, organizzazioni e aziende a fare scelte informate su come creare e utilizzare software sicuro, propone 4 serie crescenti di passaggi per proteggere l'intero ciclo di vita dello sviluppo del software.
Utilizzando Scribe, gli utenti possono automatizzare la convalida della conformità con SLSA. Oltre a ciò, nelle aree specifiche in cui non sono conformi, Scribe fornisce una serie di raccomandazioni attuabili per colmare il divario. Ciò risolve un enorme problema per i produttori di software che devono conformarsi alla nuova regolamentazione guidata dagli Stati Uniti entro il 2024.
Leggi caso d'uso
Verifica facilmente che le build SW siano conformi ai requisiti SLSA di livello 2 o livello 3
Scribe ti consente di creare la provenienza SLSA come parte di ciascuna pipeline delle tue build, vedere esattamente quale requisito SLSA ha superato o fallito e risolvere rapidamente eventuali problemi e rendere conforme la build.
Puoi quindi condividere facilmente le prove raccolte con le parti interessate pertinenti, dimostrando con sicurezza la conformità della tua build o del tuo prodotto.
Il vantaggio di Scribe rispetto ad altri strumenti
Valuta l'intera polizza anziché limitarsi a produrre un documento di provenienza
I produttori possono raccogliere informazioni SLSA rilevanti sulle loro condutture, sotto forma di una serie di politiche
I produttori possono scegliere di attuare queste politiche nella loro pipeline e verificare se la politica è stata superata o meno
Il superamento di tutte le policy significa che sei conforme al livello 3 SLSA.
I framework SSDF e SLSA coprono un'ampia gamma di aree, tra cui la gestione delle vulnerabilità, l'integrità del codice, la convalida della provenienza e l'applicazione di processi SDLC sicuri. Tuttavia, la loro implementazione può essere un compito arduo, soprattutto per le organizzazioni che dispongono di risorse limitate. Inoltre, la necessità di dimostrare la conformità in modo inequivocabile in risposta alla nuova regolamentazione federale o alle esigenze dei clienti è tutt'altro che banale.
Con Scribe puoi:
Genera, gestisci e condividi SBOM
Scribe consente ai fornitori e agli integratori di software commerciale di tenere traccia delle vulnerabilità, generare, gestire e condividere SBOM con i consumatori a valle e altre parti interessate nella catena di fornitura del software.
Gestire l'accesso alla SBOM
Scribe consente agli obblighi contrattuali di consentire l'accesso alle SBOM. Comunica inoltre il rischio di vulnerabilità tramite VEX (uno standard CISA).
Determinare il livello di protezione
Sulla base del benchmarking CIS Software Supply Chain Security e di alcuni elementi di SLSA, Scribe conduce una valutazione basata su regole per determinare il livello di protezione della pipeline di creazione.
