Scribe Security가 Gartner의 소프트웨어 공급망 보안 리더 가이드와 어떻게 일치하는가

20년 2024월 XNUMX일, Gartner는 영향력 있는 L소프트웨어 공급망 보안을 위한 eader 가이드, 소프트웨어 공급망 공격에 대한 방어의 필요성이 커지고 있음을 강조합니다. 이러한 공격의 빈도와 정교함이 증가함에 따라 조직은 효과적으로 관리해야 하는 상당한 위험에 직면합니다. 이 게시물은 Gartner 보고서의 중요한 결과를 해석합니다. Scribe Security의 솔루션이 이러한 권장 사항과 어떻게 일치하고 이를 지원하여 조직이 다음을 관리할 수 있도록 하는지 설명합니다. 소프트웨어 공급망 보안 (SSCS) 전략적으로.

Gartner 가이드의 주요 결과

Gartner의 가이드는 조직이 SSCS를 보호하기 위한 전략적 로드맵을 제공합니다. 특정 위협 벡터에 초점을 맞추는 대신 전체 소프트웨어 개발 라이프사이클에 걸쳐 통합된 전략, 효과적인 정보 공유 및 통합된 보안 관행의 필요성을 강조합니다. 이 보고서는 다음 영역을 포함하는 SSCS에 대한 광범위한 접근 방식을 제안합니다.

1. 취약한 오픈소스 코드: 많은 조직이 오픈소스 소프트웨어(OSS)에 의존하고 있는데, 적절하게 관리 및 모니터링하지 않으면 취약점이 발생할 수 있습니다.
2. 독점상법전: 오픈소스 위험 외에도 독점 소프트웨어에는 공격자가 악용할 수 있는 취약점이 포함될 수 있습니다.
3. 개발 인프라: 안전하지 않은 개발 파이프라인이나 불충분한 액세스 제어 등 개발 환경의 취약점은 보안 침해로 이어질 수 있습니다.
4. 오픈소스 패키지의 악성 코드: 공격자는 인기 있는 오픈소스 패키지에 악성 코드를 삽입할 수 있으며, 개발자는 이를 모르게 도입할 수 있습니다.
5. 독점 코드의 취약점: 맞춤형 소프트웨어에도 버그와 취약점이 포함되어 있을 수 있으며, 이를 악용하면 심각한 보안 사고로 이어질 수 있습니다.

Gartner는 이러한 광범위한 공격 표면을 지적함으로써 조직이 개발 인프라의 오픈 소스 및 독점적 위험과 취약성을 해결하는 포괄적인 전략을 개발하도록 권장합니다.

소프트웨어 공급망 공격의 증가하는 비용

Gartner는 소프트웨어 공급망 공격의 급증하는 수와 비용을 설명합니다. 2023년 138월 Cybersecurity Ventures/Snyk 보고서를 인용하면, 이러한 공격의 글로벌 비용은 2031년의 약 46억 달러에서 2023년까지 약 XNUMX억 달러에 이를 수 있습니다. 이러한 수치는 전 세계 기업에 대한 이러한 공격의 상당한 재정적 영향과 SSCS에 투자하는 것의 중요성을 강조합니다.

현재 구현 노력의 격차

대부분 조직이 소프트웨어 공급망 보안의 중요성을 인식하고 있지만, Gartner의 조사 결과에 따르면 구현 노력은 종종 단편화되고 조정되지 않은 것으로 나타났습니다. 2023년 Gartner 설문 조사에서 알 수 있습니다. 이 설문 조사에서 조직의 XNUMX분의 XNUMX가 SSCS 이니셔티브에 참여했지만, 그들의 노력은 보통 부족했습니다. 일반적인 문제로는 개발 환경의 보안을 다루지 않고 애플리케이션 보안에만 집중하여 공격자가 악용할 수 있는 격차가 발생하는 것이 있습니다.

SSCS 채택의 미래

Gartner는 2027년까지 조직의 80%가 SSCS 위험을 완화하기 위해 전사적으로 전문화된 프로세스와 도구를 도입할 것이라고 계획 가정으로 권고하는데, 이는 50년의 2023%에서 증가한 수치입니다. 이러한 증가는 SSCS 전략의 중요성에 대한 인식이 높아지고 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안을 통합하는 솔루션이 필요하다는 것을 보여줍니다.

조정 및 자동화의 중요성

효과적인 SSCS를 확립하기 위해 Gartner는 조직 전체의 조정과 정보 공유의 필요성에 대해 논의합니다. 자동화는 이 전략에서 중요한 역할을 하며, 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안 정책의 일관된 시행과 시기적절한 보안 평가를 가능하게 합니다. 자동화된 프로세스는 수동 개입에 대한 의존도를 줄이고, 인적 오류를 최소화하며, 코드 생성에서 배포에 이르기까지 개발의 모든 단계에서 보안 조치의 일관된 적용을 보장합니다.

Scribe Security의 플랫폼 이러한 원칙에 맞춰 실시간 위협 탐지, 규정 준수 모니터링 및 정책 시행을 강화하는 자동화된 프로세스를 통합합니다. SSCS 솔루션의 일부로 자동화를 제공하면 사전적이고 효율적인 위험 관리가 보장되어 조직이 새로운 위협을 피할 수 있습니다.

이해관계자 조정

효과적인 SSCS에는 보안 팀, 소프트웨어 엔지니어링, 조달, 공급업체 위험 관리, 운영 보안을 포함한 다양한 이해 관계자 간의 협업이 필요합니다. 각 그룹은 안전한 소프트웨어 공급망을 유지하는 데 역할을 하며, 이러한 이해 관계자 간의 조정은 일관된 SSCS 표준 및 관행을 보장하는 데 도움이 됩니다.

Scribe Security의 협업 플랫폼은 커뮤니케이션과 정보 공유를 가능하게 하고 보안 데이터에 대한 통합된 뷰를 제공함으로써 조직 간 조정을 용이하게 합니다. 예를 들어, 잠재적 위협에 신속하게 대응하고 SSCS에 대한 일관된 접근 방식을 유지하는 데 도움이 됩니다.

도구 및 기술

현대 소프트웨어 공급망의 복잡성을 감안할 때, Gartner는 SSCS 라이프사이클의 다양한 단계를 지원하도록 맞춤화된 전문 도구를 사용할 것을 권장합니다. 조직은 중요한 단계를 평가하여 필요에 가장 잘 맞는 도구와 기능을 우선시하는 것으로 시작해야 합니다. Scribe Security는 개발에서 배포에 이르기까지 전체 소프트웨어 라이프사이클에서 위험을 관리하도록 설계된 포괄적인 도구 모음을 제공합니다.

소프트웨어 공급망 보안의 3대 기둥과 Scribe가 이를 해결하는 방법

Gartner는 적절한 소프트웨어 공급망 보안을 달성하기 위한 세 가지 중요한 기둥을 식별합니다. 큐레이션, 생성 및 소비. 이러한 기둥은 조직이 효과적인 SSCS 전략을 개발하기 위한 프레임워크를 구성합니다. Scribe Security는 이러한 기둥 각각과 일치하는 기능을 제공하여 소프트웨어 공급망의 모든 측면을 보호합니다.

1. 큐레이트

큐레이션은 소프트웨어 개발 라이프사이클 동안 종속성으로 사용되는 타사 라이브러리와 관련된 위험을 관리하는 것을 포함합니다. 타사 구성 요소는 적절하게 검토 및 모니터링되지 않으면 취약성을 도입할 수 있습니다. Gartner는 위험하거나 승인되지 않은 종속성의 사용을 방지하기 위해 보안, 운영 위험, 법적 준수 및 자동화된 정책 시행을 위해 종속성을 평가하는 프로세스와 도구를 구현할 것을 권장합니다.

Scribe가 Curate Pillar와 어떻게 일치하는가:

• 종속성의 자동 분석: Scribe는 개발 전, 개발 중, 개발 후 소프트웨어 종속성을 자동으로 분석합니다. 이 지속적인 모니터링은 잠재적인 보안 위험에 대한 종속성의 변화를 자동으로 평가합니다.
• 종합적인 정보 수집: Scribe는 알려진 취약성, 평판 점수(OpenSSF의 점수 등), 사용 가능한 수정 사항, 라이선스 정보를 포함하여 각 종속성에 대한 자세한 정보를 수집합니다. 이 데이터는 조직이 어떤 종속성을 사용할지에 대한 정보에 입각한 결정을 내리는 데 도움이 됩니다.
• 강화된 소프트웨어 자재 목록(SBOM) 인벤토리: Scribe는 강화된 SBOM 인벤토리에서 모든 종속성 정보를 관리합니다. 이 인벤토리는 모든 소프트웨어 구성 요소에 대한 명확하고 포괄적인 보기를 제공하여 위험을 추적하고 관리하는 것을 더 쉽게 만듭니다.
• 자동화된 정책 시행: Scribe는 사전 정의된 기준에 따라 외부 종속성을 경고, 차단 또는 허용하는 자동화된 정책을 적용합니다. 이러한 정책은 보안, 운영, 법률 및 규정 준수 위험을 처리할 수 있으며 코드로 매우 사용자 정의가 가능하며 GitOps로 기본적으로 관리됩니다. 이 접근 방식은 안전하고 승인된 종속성만 사용하도록 장려합니다.

2. 몹시 떠들어 대다

Create 기둥은 개발 프로세스의 여러 단계에서 악성 코드 주입으로부터 소프트웨어를 보호하는 데 중점을 둡니다. 이를 위해서는 종속성 추적, 개발 환경 보안, 아티팩트 출처 및 무결성 보장, 엄격한 보안 제어 및 정책 구현이 필요합니다.

Scribe가 Create Pillar와 어떻게 일치하는가:

• 탑다운 보안 접근 방식: Scribe는 소프트웨어 개발 라이프사이클 전반에 걸쳐 소프트웨어를 보호하기 위해 탑다운 방식을 사용합니다. 이 방식은 코드 생성부터 클라우드 배포 또는 릴리스까지 조직 전체의 모든 소프트웨어 개발 라이프사이클(SDLC) 파이프라인을 발견하는 것을 포함합니다.
• 지속적인 모니터링: Scribe는 배포 전 및 배포 후 단계를 포함한 전체 개발 라이프사이클을 모니터링합니다. 이러한 지속적인 모니터링은 개발의 모든 단계에서 보안 위험을 식별하고 완화하는 데 도움이 됩니다.
• 아티팩트의 암호화 서명: Scribe는 증거와 중간 및 최종 아티팩트의 모든 해시가 암호화되어 서명되도록 보장합니다. 이 관행은 모든 빌드된 아티팩트에 대한 기본 제공 출처를 제공하여 소프트웨어 구성 요소의 무결성과 진위성을 보장합니다.
• 지식 그래프와 SBOM 인벤토리: Scribe의 증거 저장소는 지식 그래프와 SBOM 인벤토리 역할을 하며, 컨텍스트를 사용하여 프로젝트와 프로덕션에서 사용된 모든 구성 요소를 추적합니다. 이 추적을 통해 새로운 취약성이 게시됨에 따라 취약한 아티팩트의 존재에 대한 실시간 알림을 제공할 수 있습니다.
• 정책 시행: Scribe는 빌드 프로세스, 입장 제어 및 오프라인 리포지토리 스캔 중에 보안 정책을 적용합니다. 이러한 정책은 GitOps에서 코드로 관리되어 SDLC의 필수적인 부분이 되고 보안 제어가 일관되게 적용되도록 합니다.
• 규정 준수 청사진: Scribe는 제품별 및 버전별로 규정 준수를 시행하거나 모니터링하기 위해 SLSA(Supply Chain Levels for Software Artifacts) 및 SSDF(Secure Software Development Framework)와 같은 프레임워크 청사진을 제공합니다. 이러한 청사진은 보안 및 규정 준수에 대한 표준화된 접근 방식을 제공하여 조직이 산업 표준을 충족하도록 돕습니다.

3. 소비하다

소비 필러는 상용 기성품(COTS)이든 OSS이든 타사 패키지 소프트웨어와 관련된 위험을 줄입니다. 여기에는 인수 전에 소프트웨어를 평가하고, 소프트웨어 구성의 투명성을 보장하고, 전문 테스트를 실시하고, SBOM 및 기타 보안 아티팩트에 대한 강력한 프로세스를 구현하는 것이 포함됩니다.

Scribe가 Consume Pillar와 어떻게 일치하는가:

• SSCS 이해 관계자를 위한 협업 플랫폼: Scribe는 조직 내부 및 외부의 SSCS 이해 관계자 간의 커뮤니케이션과 정보 공유를 용이하게 하는 협업 플랫폼을 제공합니다. Scribe 공급업체는 SBOM, VEX(Vulnerability Exchange) 권고 및 SLSA 출처와 같은 규정 준수 증명을 고객과 공유할 수 있습니다.
• 진실의 통합된 출처: Scribe는 다양한 내부 이해 관계자(개발자, 보안 운영 센터(SOC), 거버넌스, 위험 및 규정 준수(GRC) 팀, 법무부)가 통합된 진실의 원천을 볼 수 있도록 합니다. 이 중앙 집중식 보기는 소프트웨어 제품 수명 주기 전반에 걸쳐 허용 가능한 위험 정책을 시행합니다.
• 선제적 공급업체 참여: Scribe는 조직이 공급업체와 적극적으로 협력하여 규정 준수와 보안을 보장하도록 돕습니다. 이는 Gartner가 투명성과 철저한 평가를 강조하는 것과 일치합니다. Scribe의 플랫폼을 통해 조직은 공급업체 보안 관행을 추적하고 타사 소프트웨어가 보안 표준을 충족하는지 확인할 수 있습니다.
• SBOM 생성 및 관리: Scribe를 사용하면 소프트웨어 소비자가 수신된 소프트웨어 아티팩트에 대한 SBOM을 생성하거나 공급업체가 제공하는 SBOM 및 VEX 데이터를 수집할 수 있습니다. 이 기능을 사용하면 소비자가 패키지 제품에 사용된 모든 구성 요소의 최신 인벤토리를 유지하고, 새로운 취약성을 모니터링하고, 위험을 완화하기 위한 시기적절한 조치를 취할 수 있습니다.
• 사고 대응 지원: 수집된 증거와 릴리스된 소프트웨어 아티팩트에 대한 계보는 책임을 만들고 사고 대응을 위한 중요한 포렌식 정보를 제공합니다. 이 기능은 조직이 보안 사고에 신속하고 효과적으로 대응할 수 있는 능력을 향상시킵니다.

왜 Scribe Security를 ​​선택하시나요?

Scribe Security는 소프트웨어 공급망 보안에 대한 광범위하고 통합된 접근 방식을 제공하며, 자동화, 조정 및 사전 위험 관리에 대한 Gartner의 강조점과 일치합니다. Scribe의 솔루션은 조직의 SDLC에 내장되어 보안 증거 생성을 자동화하고, 무결성 및 출처 제어를 적용하며, 소프트웨어 수명 주기 전반에 걸쳐 정책을 가드레일로 시행합니다.

Scribe Security의 주요 장점:

• 엔드투엔드 자동화: Scribe는 보안 프로세스를 자동화하여 수동 감독의 필요성을 줄이고 규정 준수 검사를 가속화합니다. 여기에는 빌드 및 배포 단계 중 자동화된 규정 준수 검사, 아티팩트 서명, 코드 검토, 보안 스캐너 구현 및 심각한 취약성 수정이 포함됩니다.
• 이해 관계자 간 협업: Scribe의 플랫폼은 이해 관계자 협업을 강화하여 컨텍스트, 공급망 인텔리전스 및 소프트웨어 아티팩트 추적을 제공하는 단일 진실 소스 역할을 합니다. 이는 다양한 부서와 외부 파트너와 함께 보안을 관리하기 위한 조정된 노력을 지원합니다.
• 공급업체 위험 관리: Scribe는 조직이 SBOM, SLSA 출처, 규정 준수 증명과 같은 중요한 공급망 증거를 평가하고 관리할 수 있도록 함으로써 공급업체 위험 관리를 강화합니다. 이 기능은 생산자와 소비자가 소프트웨어 공급망이 보안 및 규제 표준을 충족하는지 확인하는 데 도움이 됩니다.
• 애플리케이션 보안 스캐너와의 통합: Scribe는 널리 사용되는 애플리케이션 보안 스캐너와 통합되어 조직이 결과에 보안 정책을 적용하고 전반적인 보안 상태를 통합적으로 볼 수 있도록 해줍니다.

소프트웨어 공급망 보안에 대한 접근 방식을 바꿀 준비가 되셨나요?

가트너 소프트웨어 공급망 보안을 위한 리더 가이드 조직이 포괄적이고 조정된 SSCS 전략을 채택해야 할 절실한 필요성을 강조합니다. 조직은 큐레이션, 생성, 소비의 3가지 기둥 프레임워크를 구현하고 Scribe Security에서 제공하는 것과 같은 고급 도구와 프로세스를 활용함으로써 위험을 효과적으로 관리하고 보안을 강화하며 규제 요구 사항을 준수할 수 있습니다. 소프트웨어 공급망 공격의 증가하는 재정적 영향과 진화하는 규제 환경으로 인해 조직은 SSCS 노력을 우선시해야 합니다.

다음은 Scribe Security 플랫폼을 어떻게 활용할 수 있는지 요약한 간단한 치트시트입니다. 더 자세히 알아보려면 데모 예약 그것을 실제로 볼 수 있습니다.

관련 게시물

새로운 NPM 공격인 IconBust

애플리케이션과 웹사이트에서 데이터를 추출하도록 설계된 새로운 소프트웨어 공급망 공격이 20개가 넘는 NPM 패키지에서 발견되었습니다.

NIST SP 800-218 – 이 프레임워크란 무엇이며 활용 방법

NIST의 SSDF(Secure Software Development Framework)는 소프트웨어 개발 수명 주기에서 악의적인 개입 및 취약점 노출 위험을 줄이기 위해 투명성과 변조 방지 조치를 장려합니다.

CycloneDX SBOM 종속성 그래프 – 무엇이 좋은가요?

우리는 최근 SBOM에 대해 많이 들었습니다. 우리는 그 유용성, 구성, 보안 및 규제 요구 사항에 대해 들었습니다. 이번에는 CyclonDX SBOM의 잘 알려지지 않은 부분인 종속성 그래프(Dependency Graph)에 대해 이야기하는 시간을 갖고 싶습니다. 이름에서 알 수 있듯이 종속성 그래프는 […]