보안 소프트웨어 개발 프레임워크(SSDF), AKA NIST SP800-218은 특히 소프트웨어 공급망 보안과 관련하여 미국의 사이버 보안 태세를 강화하는 데 초점을 맞춘 행정 명령 14028에 대응하여 NIST가 개발한 일련의 지침입니다.
SSDF는 표준이 아닌 모범 사례 프레임워크입니다. 특히 미국 정부를 위한 소프트웨어를 개발하는 조직과 관련이 있지만 SSDF는 모든 소프트웨어 개발 조직에 도움이 됩니다.
이 문서에서는 SSDF의 네 가지 사례를 검토하고 활용 방법을 설명합니다. 서기 보안 사람과 프로세스가 SDLC의 보안 표준을 유지할 수 있도록 하는 도구를 제공하여 구현을 돕습니다.
Scribe Security는 소프트웨어 공급망 보안을 위한 플랫폼입니다.
소프트웨어 보호(PS)
PS 관행은 모든 소프트웨어 구성 요소에 대한 변조 및 무단 액세스 위협을 해결합니다. PS 컨트롤은 개발 수명 주기 전반에 걸쳐 소프트웨어 보안을 보장하는 것을 목표로 합니다. 여기에는 모든 형태의 코드 보호, 소프트웨어 릴리스 무결성 확인, 각 소프트웨어 릴리스 보관 및 보호가 포함됩니다.
Scribe는 다음 기능을 통해 PS 제어 문제를 해결하는 데 도움이 됩니다.
- 소스 코드 및 빌드 아티팩트 서명: 이는 무단 액세스 및 변조로부터 코드를 보호하려는 SSDF의 강조와 일치하여 코드 및 빌드 아티팩트의 무결성과 신뢰성을 보장하는 데 도움이 됩니다. 개발 프로세스 전반에 걸쳐 지속적인 코드 서명은 소프트웨어 릴리스의 무결성이 훼손되지 않았음을 보장하는 데 도움이 됩니다.
- 출처 추적: 안전한 소싱을 위해 소프트웨어 구성 요소의 출처와 기록을 모니터링하여 손상된 구성 요소로 인해 발생하는 취약성으로부터 소프트웨어를 보호하는 데 도움을 줍니다.
- SDLC 중 소프트웨어 무결성 모니터링: SDLC 전체의 무결성을 지속적으로 확인하면 개발 도구 및 파이프라인의 잠재적인 공격자를 차단할 수 있습니다.
- 자동화된 보안 도구 체인: 보안 프로세스의 측면을 자동화하는 도구 체인을 구현하면 인적 오류를 줄이고 보안 관행을 일관되게 적용할 수 있습니다.
- 소프트웨어 보안 검사 기준: 개발 중에 소프트웨어 보안을 검사하는 기준을 정의하고 사용하는 것은 조직 표준 준수를 보장하고 잠재적인 취약점을 식별하는 데 중요합니다.
- 안전한 개발 환경: 취약성을 방지하고 소프트웨어 개발 프로세스를 보호하려면 안전한 개발, 빌드 및 테스트 환경을 유지하는 것이 중요합니다.
- 소스 코드, 개발 도구 및 소프트웨어 아티팩트 레지스트리에 대한 액세스 제어 정책을 적용합니다. 승인된 사용자에 대한 액세스를 제한하면 무단 사용 및 변조를 방지할 수 있습니다.
보안이 철저한 소프트웨어(PW) 제작
PW 관행은 SDLC 전반에 걸쳐 소프트웨어에 도입된 취약점을 해결합니다. 여기에는 보안 요구 사항을 충족하는 소프트웨어 설계, 규정 준수 설계 검토, 보안 코드 재사용, 보안을 위한 빌드 프로세스 구성, 실행 가능한 코드 취약성 테스트가 포함됩니다.
Scribe는 다음 기능을 통해 PW 제어 문제를 해결하는 데 도움이 됩니다.
- SCA(소프트웨어 구성 분석): 오픈 소스 및 타사 구성 요소를 식별하고 관리하여 소프트웨어 종속성과 관련된 위험을 완화합니다.
- 취약점 및 평판 인텔리전스: 취약점을 지속적으로 모니터링하고 소프트웨어 구성 요소의 평판을 평가하여 안정성을 보장합니다.
- 위험 분석: 오픈 소스 종속성과 관련된 잠재적인 보안 및 라이센스 위험을 평가 및 모니터링하고 소프트웨어 BOM을 관리합니다(SBOM) 및 VEX(Vulnerability Exploitability eXchange) 주의보를 참조하세요.
- SDLC에서 보안 관련 증거 수집: 정보에 입각한 위험 관리를 위해 SDLC 전체에서 데이터를 분석합니다.
- 보안 개발 정책: 소프트웨어 개발 프로세스 및 절차에 대한 지침을 성문화하고 팀과 소프트웨어 개발 프로젝트 전반에 걸쳐 KPI를 측정합니다.
취약점 대응(RV)
RV 관행에는 소프트웨어 릴리스의 잔여 취약점을 식별하고 적절하게 대응하는 작업이 포함됩니다. RV에는 취약성 해결, 완화 또는 이해관계자에게 조언 제공이 포함됩니다.
Scribe는 다음 기능을 통해 RV 제어 문제를 해결하는 데 도움이 됩니다.
- SDLC에서 증거 수집: 조직 전체의 모든 소프트웨어 릴리스에 대한 모든 자산, 도구, 종속성 및 프로세스 단계의 스냅샷을 생성하는 SDLC 전반에 걸쳐 메타데이터를 수집합니다.
- SDLC Intelligence를 위한 지식 그래프: 지식 그래프를 사용하여 전체 프로젝트 포트폴리오에 걸쳐 새로운 취약점, 문제가 있는 종속성 또는 문제가 있는 코드 기여자의 영향을 분석할 수 있습니다.
- 지속적인 취약점 식별 및 우선순위 지정: 취약점을 식별하고 우선순위를 지정하는 자동화된 도구입니다.
- 지속적인 모니터링 및 개선: 조직의 소프트웨어 포트폴리오 전반에 걸쳐 출시 후 새로 게시된 취약점을 감지하기 위한 지속적인 모니터링 메커니즘입니다.
조직(PO) 준비
PO 관행은 조직 수준을 목표로 합니다. 사람, 프로세스, 기술은 안전한 소프트웨어 개발을 수행할 준비가 되어 있습니다.
Scribe는 다음 기능을 통해 PO 제어 문제를 해결하는 데 도움이 됩니다.
- GitOps(Policy as Code): 보안 정책을 코드로 구현하면 SDLC 전반에 걸쳐 보안을 위한 일관된 가드레일이 가능합니다. 이는 소프트웨어 개발의 모든 단계에 보안을 내장시키려는 SSDF의 강조와 일치합니다.
- SLSA, SSDF PS 및 맞춤형 이니셔티브와 같은 프레임워크 준수: 이러한 프레임워크에 대한 준수를 강화하면 소프트웨어 개발이 인정된 보안 표준에 부합하도록 보장하고 안전한 소프트웨어 개발에 대한 조직의 노력을 더욱 확고히 할 수 있습니다.
- 향상된 커뮤니케이션: 실제 증거 데이터와 KPI를 공통 근거로 삼아 팀 간의 효과적인 커뮤니케이션과 협업을 촉진하여 보안 요구 사항을 잘 이해하고 개발 프로세스에 통합합니다.
- 지속적인 모니터링 및 감사: 보안 관행 및 정책을 지속적으로 준수하도록 보장하는 지속적인 모니터링 및 감사 메커니즘입니다.
결론
Scribe Security는 소프트웨어 공급망 보안을 위한 플랫폼입니다. 이는 소프트웨어 아티팩트와 소프트웨어 공장을 보호하는 모든 보안 측면을 다루도록 설계되었습니다. 이를 통해 조직 전반에 걸쳐 소프트웨어 제품에 대한 포괄적이고 전체적인 위험 관리가 가능하며 소프트웨어 생산자와 소비자 간의 소프트웨어 신뢰 센터 역할을 할 수 있습니다.
Scribe는 규정 준수의 수단이기도 합니다. SSDF 프레임워크를 지원합니다.. 이를 통해 SLSA, 특정 산업 표준, 맞춤형 조직 이니셔티브 등 기타 모범 사례를 준수할 수 있습니다.
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.
관련 게시물
