SDLC, GitHub를 넘어서는 공급망 보안 및 규정 준수

대부분의 소프트웨어 조직은 코드 관리, 빌드, 레지스트리, 전달 및 배포를 위해 여러 플랫폼을 사용합니다. SDLC 및 소프트웨어 공급망의 보안을 관리하려면 GitHub의 기본 기능을 넘어서는 통합 플랫폼이 필요합니다. 효과적인 위험 관리에는 코드에서 클라우드까지 명확한 추적 가능성과 거버넌스가 필요합니다. 모든 컨테이너 이미지와 릴리스된 아티팩트가 소스에 연결되도록 해야 합니다.

조직은 보안 애플리케이션 개발을 위해 다양한 도구를 사용합니다. 이는 보안 개발 프로세스의 일부로 출력을 관리하고 증명해야 할 필요성을 만듭니다(EO 14144에서 요구). 이러한 증명에는 SBOM과 코드 검토 스캐닝, 아티팩트 서명, 빌드 격리, 출처 캡처와 같은 보안 조치의 결과와 같은 증거가 포함됩니다.

최신 애플리케이션은 복잡하며, 종종 컨테이너 이미지 및 복합 릴리스와 같은 여러 아티팩트가 포함됩니다. 제품, 버전 및 릴리스 수준에서 SDLC 및 공급망 보안을 관리하는 것은 필요한 증명을 생성하고 위험을 분석하는 데 필수적입니다.

Scribe Security는 다음을 제공하여 이러한 과제를 해결합니다.

문맥별 정책 시행

• 사용자 지정 보안 정책은 코드, 빌드, 배포와 같은 중요 단계에서 게이트형 제어로 적용되어 개발 프로세스 전체에서 필요한 보안 조치가 시행되도록 보장합니다.
• Scribe의 정책은 GitOps를 통해 코드로 관리되며, 포크, 사용자 정의 및 확장이 가능한 규정 준수 프레임워크에 매핑된 150개의 사전 구축된 보안 정책 카탈로그를 제공합니다.
• 이러한 정책은 버전 관리되므로 변조 방지 기능이 유지되고 전체 SDLC에서 일관되게 적용됩니다.

GitHub 비교:

• 구성 옵션: GitHub에서는 저장소나 조직별로 구성할 수 있는 보안 설정(브랜치 보호, 필수 검토, 비밀 스캐닝 등)을 제공합니다.
• 범위 제한: GitHub 대시보드(예: 보안 개요)는 가시성을 제공하지만 전체 SDLC에 걸쳐 정책을 시행하지는 않습니다.

진실성

• Scribe는 여러 게이트(예: 빌드 및 입장 제어)에서 검증을 통해 코드 및 아티팩트 서명을 제공합니다.
• 이 플랫폼은 PKI 및 Sigstore 통합을 사용하여 고객 관리 키로 서명하는 것을 지원합니다.

GitHub 비교:

• 아티팩트 증명: GitHub Actions는 빌드 출처를 캡처하고 Sigstore로 서명된 증명을 생성할 수 있습니다. 
• 구성에 따라 다름: 이 작업에는 의도적인 설정이 필요하며 고객 관리 키로 서명하거나 여러 검증 지점에서 검증하는 것을 지원하지 않습니다.

규정 준수 및 공급망 보증

• Scribe는 SLSA 및 EO 14144와 같은 규정을 준수하는 기계에서 읽을 수 있는 증명서를 지속적으로 생성합니다.
• 통합 보안 증명은 개발 프로세스의 증거를 수집하고 감사 및 규정 준수를 위해 아티팩트, 제품 및 릴리스 수준에서 집계할 수 있습니다.

GitHub 비교:

• 유물 출처 및 SBOM: GitHub은 빌드 출처를 지원하고 SBOM 데이터를 내보낼 수 있지만, 이러한 기능은 저장소 또는 아티팩트 수준에서 작동하며 기업 전체 보고를 위해 수동 집계가 필요합니다.

위험 분석

• Scribe는 취약성 탐지, 무결성 위반 식별, 버려진 워크로드 플래그 지정, SDLC 정책 위반 모니터링을 통해 SDLC 전반의 위험을 지속적으로 평가합니다.
• 이 통합된 위험 분석은 수정의 우선 순위를 정하기 위한 실행 가능한 통찰력을 제공합니다.

GitHub의 비교:

• 취약성 알림: GitHub은 Dependabot 및 CodeQL과 같은 도구를 통해 알림을 제공하지만, 위험 데이터는 더 광범위한 정책이나 무결성 문제에 대한 통합 분석 없이 저장소에 분산되어 있는 경우가 많습니다.

지속적인 발견 및 계보 생성

• Scribe는 개발 자산의 검색을 자동화하고 추적성이 부족한 버려진 프로덕션 워크로드를 식별하는 동시에 명확한 코드-클라우드 계보를 만듭니다.

GitHub 비교:

• 보안 대시보드: GitHub의 보안 개요는 저장소 전반의 취약점과 구성에 대한 통찰력을 제공합니다.
• 제한된 검색: GitHub은 모든 개발 자산을 자동으로 검색하지 않으며 코드에서 클라우드까지 종단 간 계보를 제공하지 않습니다.

요약

GitHub은 다양한 보안 기능을 제공하지만, 종종 수동 구성이 필요하고 전체 SDLC에 대한 통합적이고 지속적인 감독이 부족합니다. Scribe Security는 소프트웨어 라이프사이클 전반에 걸쳐 엔드투엔드 가시성, 상황에 맞는 정책 시행, 통합 증명 및 포괄적인 위험 분석을 제공하여 이러한 격차를 메웁니다.

물론, GitHub의 보안 기능은 GitHub에만 국한되는 반면, Scribe Security는 모든 DevOps 플랫폼과 CI/CD 도구를 포괄합니다.

관련 게시물

GitHub 캐시 중독

CI 내부에서 무슨 일이 일어나는지 알고 있나요? 깊은 이해가 없으면 혁신적인 공급망 공격에 취약할 수 있습니다. 이 문서에서는 이러한 공격에 대해 설명합니다.

구조를 위한 SBOM 도구 – XZ Utils 백도어 케이스

XZ Utils(CVE-2024-3094) 백도어란 무엇입니까? 2024년 3094월 초에 공개된 CVE-2024-XNUMX는 Linux 유틸리티에 악의적으로 삽입된 백도어입니다. 이는 호기심이 많고 보안에 대해 잘 알고 있는 Microsoft 소프트웨어 엔지니어인 Andres Freund가 주요 Linux 배포판에 통합되기 직전에 이를 발견했습니다. 이것이 성공했다면, 상상할 수 없을 만큼 많은 서버가 […]

취약점 검색 시 CVE 번아웃 및 경고 피로를 방지하는 방법은 무엇입니까?

CVE(Common Vulnerability and Exposures) 검사는 소프트웨어 애플리케이션을 보호하는 데 필수적입니다. 그러나 소프트웨어 스택의 복잡성이 증가함에 따라 모든 CVE를 식별하고 해결하는 것이 어려울 수 있습니다. 오늘날 CVE 스캔의 가장 큰 문제 중 하나는 […]