クラウドでソフトウェアを開発すると、最先端のツールやテクノロジー、サービスとしての開発者ツール、機械学習リソースへのアクセスなど、開発者にメリットが得られます。
Scribe のソリューションは、デジタル資産の改ざんを防止し、開発者の認証と認可を行い、信頼できるオープンソース コンポーネントの依存関係をフィルタリングして、組織がパブリック クラウドで開発できるように支援します。
Scribe を使用すると、組織はクラウド環境内で完全なコーディング、構築、テストのサイクルを実行できます。
サイクルが完了すると、ソース コードとその信頼性に関する証明書がエアギャップ ネットワークに転送されます。
次に、Scribe ゲートウェイはコードの整合性を検査し、構成証明の安全な開発プロセスにセキュリティ ポリシーを適用します。証拠は証明書の一部として収集されます。
ユースケース WP を読むScribe は、各コード バージョンの PKI または GPG 署名証明を収集、管理し、コード開発プロセスのセキュリティと信頼性を継続的に証明します。
証拠には次のものが含まれます
ファイルリストとハッシュ値を含むコードコミット
コードレビューの実行
開発者のアイデンティティが関係する
オープンソースの依存関係
ソース コントロール マネージャーのセキュリティ構成
自動セキュリティスキャン
パブリック クラウドでのソフトウェア開発を採用する場合、安全性の高い組織は、適切なセキュリティ管理によって次のリスクに対処します。
リスクシナリオ | 制御の緩和 |
外部攻撃者 コードとデータの改ざん |
|
内部攻撃者 コードとデータの改ざん |
|
依存関係 安全でないオープンソース コンポーネント |
|