새로운 CISA 자가 증명 양식에 서명하고도 밤에 편히 자는 방법

소프트웨어 공급망 보안 모범 사례의 채택은 현재 2006년 PCI 규정 준수 요구 사항이 발표된 것과 유사한 분수령에 있습니다. 그때와 마찬가지로 새로운 규정에는 기업 경영진의 중요한 요구 사항이 추가되었습니다. 이 경우에는 소프트웨어의 보안과 이를 달성하는 데 사용되는 정확한 수단.

제안된 보안 소프트웨어 개발 증명 양식은 OMB의 M-23-16 메모 및 이전 M-22-18 메모의 요구 사항에 따라 DHS – CISA가 제시한 최종 초안 버전이지만 상당한 의무 사항입니다. 이에 수반되는 부채. 양식의 요구 사항을 준수함을 보장하는 회사 경영진의 서명이 필요합니다. 소프트웨어 공급망 공격이 발생할 경우 해당 사람이 적절한 증거로 자신의 서명을 뒷받침할 수 있을 것이라는 기대가 표현되어 있습니다. 

양식의 4개 조항은 광범위한 요구 사항을 다루고 있지만 준수 방법에 대한 지침은 제공하지 않습니다. 업계에서 발견되는 다양한 기술 스택, 클라우드 환경, CI/CD 도구 및 구성으로 인해 양식에 필요한 다양한 증거를 모두 수집하기가 어렵습니다.

또한, 검증 시점의 문제도 있습니다. 회사가 지속적으로 증거를 수집하지 않는 한, 서명된 모범 사례를 따르고 있음을 입증하기 위해 할 수 있는 일은 거의 없습니다. 

신뢰할 수 있는 방식으로 증거를 자동으로 지속적으로 수집하고 회사가 정의하고 서명한 SDLC 정책을 지속적으로 확인하는 것은 양식의 요구 사항이 준수되었음을 입증하는 올바른 방법입니다.   

이 백서를 받아보세요 Scribe가 소프트웨어에 대한 신뢰 구축을 위한 증거로 증거를 자동으로 수집하고 서명하는 데 어떻게 도움이 되는지 알아보세요. 

로그 파일, 스크린샷, 구성 파일 등을 포함하여 필요한 증거의 일부가 되어야 하는 내용에 대해 조언해 드립니다. 우리는 타사 도구에서 증거를 수집하고 이를 SDLC의 나머지 증거에 포함하고 파이프라인을 구축하는 방법을 알고 있습니다. 우리는 이 증거를 반박할 수 없고 변경할 수 없는 증명으로 바꾸어 안전한 저장소에 저장하도록 돕습니다.

이러한 증거는 SLSA 또는 SSDF 준수에 대한 유효한 증명 역할을 할 수 있습니다. 각 회사는 서명 검증 모델을 기반으로 자체 정책을 맞춤화할 수 있습니다.

Scribe 플랫폼에는 수집된 모든 증거가 쿼리하기 쉽고 세그먼트 형식으로 포함되어 있습니다. 모든 빌드 및 제품의 집계된 SBOM 보기, 오래된 전체 구성 요소 보고서, 포괄적인 취약점 보고서(다음을 포함)를 검사할 수 있습니다. CVSS 점수EPSS 확률), 그리고 이를 기반으로 한 도서관 평판 보고서 OpenSSF 스코어카드 프로젝트.

모든 자료

마지막 자원

GigaOm의 Howard Holton이 Scribe Security의 제품 담당 부사장인 Doron Peri와 함께 Blackhat의 소프트웨어 공급망 및 기타 문제에 대해 논의했습니다.
Balck Hat 2024 패널 "신뢰에서 증거 기반 지속적 보증까지: 보안 거버넌스와 컴플라이언스의 미래"의 녹화 영상을 시청하세요. 큰...