최근 몇 년 동안, 유명 소프트웨어 공급망 공격으로 인해 조직에 상당한 피해가 발생하여 미국 정부는 새로운 사이버 규정과 표준을 추진하게 되었습니다. 이로 인해 SLSA 및 SSDF와 같은 주요 프레임워크가 개발되었고, 연방 정보 처리에서 클라우드 컴퓨팅 보안을 위한 권위 있는 접근 방식이 된 FedRAMP 승인법이 제정되었습니다.
이러한 프레임워크는 취약성 관리, 코드 무결성, 출처 검증, 사고 대응 및 보안 SDLC 프로세스를 통해 소프트웨어 보안을 종합적으로 해결합니다. 이를 구현하는 것은 어려울 수 있지만, 특히 리소스가 제한된 조직의 경우, 이 페이지를 아래로 스크롤하면 각 프레임워크와 해당 요구 사항에 대한 자세한 정보를 찾을 수 있습니다.
Scribe의 플랫폼은 소프트웨어 제작자에게 안전한 항구 역할을 합니다. 제한된 리소스로도 SLSA 및 SSDF 프레임워크를 쉽게 준수할 수 있습니다.
Scribe를 사용하면 고객이 다음을 준수할 수 있습니다. SSDF 프레임워크 소프트웨어가 변조되지 않았음을 보장하는 증거 기반 허브를 통해 투명성을 향상함으로써 SLSA.
솔루션 요약 받기NIST SP 800-218(SSDF) 준수
SSDF는 전체 SDLC에서 발생하는 취약점의 규모와 영향을 줄이는 것을 목표로 합니다. 미국에서 운영 중이거나 운영할 예정인 공급업체는 신속하게 대응하고 SSDF 준수 방법을 배워야 합니다.
SSDF는 따라야 할 체크리스트가 아니라 안전한 소프트웨어 개발을 위한 위험 기반 접근 방식을 계획하고 구현하기 위한 로드맵입니다. 여기에는 투명성을 촉진하고 증거 기반 전략을 사용하여 무단 사용자에 의한 변조로부터 소프트웨어를 보호하는 것이 포함됩니다.
Scribe 사용자는 안전한 개발 및 빌드 프로세스를 보장하거나 변조가 발생하지 않았는지 검증하기 위해 증명에 대한 정책을 적용할 수 있을 뿐만 아니라 새로운 미국 사이버 규정의 기초인 SSDF에 대한 준수 여부도 측정할 수 있습니다.
전체 SSDF 가이드 받기Scribe는 SSDF 내에서 PS(소프트웨어 보호) 실행 그룹에 초점을 맞춘 최초의 솔루션입니다.
Scribe는 SLSA의 일부 요소와 결합된 잘 알려진 CIS 소프트웨어 공급망 보안 벤치마크를 기반으로 소스 코드의 보호 수준을 결정하기 위해 규칙 기반 평가를 수행합니다.
사용 사례 읽기SLSA 프레임워크 준수
SLSA 소프트웨어 무결성을 보장하는 보안 제어 및 표준에 대한 포괄적인 체크리스트입니다. 개발자, 조직 및 기업이 보안 소프트웨어를 구축하고 사용하는 방법에 대해 정보에 입각한 선택을 할 수 있도록 돕는 것 외에도 전체 소프트웨어 개발 수명주기를 보호하기 위한 4단계 확대 시리즈를 제안합니다.
Scribe를 사용하면 사용자는 SLSA로 규정 준수 확인을 자동화할 수 있습니다. 게다가, 준수하지 않는 특정 영역에서 Scribe는 격차를 줄이기 위해 일련의 실행 가능한 권장 사항을 제공합니다. 이는 2024년까지 미국이 주도하는 새로운 규정을 준수해야 하는 소프트웨어 제작자에게 큰 문제를 해결합니다.
사용 사례 읽기SW 빌드가 SLSA 레벨 2 또는 레벨 3 요구 사항을 준수하는지 쉽게 확인
Scribe를 사용하면 각 빌드 파이프라인의 일부로 SLSA 출처를 생성하고, 정확히 어떤 SLSA 요구 사항이 통과 또는 실패했는지 확인하고, 모든 문제를 신속하게 해결하고 빌드를 규정 준수 상태로 만들 수 있습니다.
그런 다음 수집된 증거를 관련 이해관계자와 쉽게 공유하여 빌드 또는 제품 규정 준수를 자신있게 입증할 수 있습니다.
개발 속도를 유지하면서 더 적은 리소스로 더 빠르게 FedRAMP 규정 준수를 달성하세요.
Scribe Security의 플랫폼은 규정 준수 프로세스를 간소화하고 자동화하는 데 중요한 기능을 제공하여 최소한의 수동 작업으로 인증 시간을 단축합니다.
- 자동화된 SBOM 관리
- SDLC 거버넌스를 위한 코드형 가드레일
- 지속적인 보증: 코드 서명 및 출처 검증
- 취약점 스캐닝 및 위험 관리
- 증거 기반 준수 및 보고
다른 도구에 비해 Scribe의 장점
단순히 출처 문서를 작성하는 것이 아닌 전체 정책을 평가합니다.
생산자는 일련의 정책 형태로 파이프라인에 대한 관련 SLSA 정보를 수집할 수 있습니다.
생산자는 파이프라인에서 이러한 정책을 제정하고 정책이 통과했는지 실패했는지 확인할 수 있습니다.
모든 정책 통과는 SLSA 레벨 3을 준수한다는 의미입니다.
SSDF 및 SLSA 프레임워크는 취약성 관리, 코드 무결성, 출처 검증, 보안 SDLC 프로세스 시행을 포함한 광범위한 영역을 포괄합니다. 그러나 이를 구현하는 것은 특히 리소스가 제한된 조직의 경우 어려운 작업이 될 수 있습니다. 더욱이, 새로운 연방 규정이나 고객의 요구 사항에 대응하여 규정 준수 여부를 명확하게 입증해야 하는 필요성은 결코 사소한 것이 아닙니다.
Scribe를 사용하면 다음을 수행할 수 있습니다.
SBOM 생성, 관리 및 공유
Scribe를 사용하면 상용 소프트웨어 공급업체 및 통합업체가 취약성을 추적하고, SBOM을 생성, 관리하고, 소프트웨어 공급망의 다운스트림 소비자 및 기타 이해관계자와 공유할 수 있습니다.
SBOM 액세스 관리
Scribe는 SBOM에 대한 액세스를 허용하는 계약상의 의무를 허용합니다. 또한 VEX(CISA 표준)를 통해 취약성 위험을 전달합니다.
보호 수준 결정
CIS 소프트웨어 공급망 보안 벤치마킹과 SLSA의 일부 요소를 기반으로 Scribe는 규칙 기반 평가를 수행하여 빌드 파이프라인의 보호 수준을 결정합니다.