소프트웨어 공급망의 엔드 투 엔드 보안을 달성하는 데 매우 중요한 구성 요소는 아웃소싱 하청업체로 인해 발생하는 사이버 위험을 완화하는 능력입니다. 또한 지속적이고 안전한 하청업체 소프트웨어 제공 프로세스를 활성화하는 것도 중요합니다.
아웃소싱 하청업체는 소프트웨어를 개발하고 소프트웨어 아티팩트를 내보낸 후 다음과 같은 목적으로 조직의 위험 관리 게이트를 통과합니다.
- 디지털 자산 변조 방지
- 신뢰할 수 있는 개발자에게만 액세스 허용
- 평판이 좋은 오픈소스만 사용
Scribe의 플랫폼은 조직의 Acceptance Gate 역할을 합니다.
Scribe는 다음을 위한 조직의 위험 관리 관문 역할을 합니다.
- 하청업체로부터 지속적으로 증거 수집 및 서명
- 개발자 인증 및 승인
- 증거 무결성 확인
- 수락 정책 적용
SaaS 아키텍처를 사용하는 조직의 경우 Scribe가 승인 게이트로 사용되며 정책을 제어합니다.
모듈형 증거는 사용 사례를 기반으로 수집됩니다.
SDLC에 대한 통합 지점은 선택 사항입니다.
증거는 암호화된 방식으로 서명됩니다.
Scribe는 서명을 확인하고 증거를 분석하며 수용 정책을 적용합니다.
온프레미스 아키텍처를 사용하는 조직의 경우 Scribe가 로컬 에이전트로 사용되며 하청업체 버전 증거를 Acceptance Gate로 내보냅니다.
모듈식 증거는 사용 사례에 따라 로컬로 수집, 서명 및 저장됩니다.
Scribe는 소프트웨어 아티팩트 전달과 함께 증거를 내보냅니다.
Scribe는 현지 에이전트 역할을 하며 하청업체 버전 증거를 Acceptance Gate로 내보냅니다.