SSDF 및 SLSA 프레임워크에 대한 지속적인 규정 준수 입증

최근 몇 년간 세간의 이목을 끄는 소프트웨어 공급망 공격으로 인해 조직에 심각한 피해가 발생했습니다. 이러한 공격은 소프트웨어 공급망 관련 위험을 해결하기 위해 더 나은 보안 관행의 필요성을 강조했습니다. 이에 미국 정부는 새로운 사이버 규제와 표준을 추진했다. 이것이 SLSA와 SSDF가 탄생한 방식입니다.

이러한 프레임워크는 취약성 관리, 코드 무결성, 출처 확인, 사고 대응, 보안 SDLC 프로세스 시행 등 광범위한 영역을 포괄합니다. 그러나 이를 구현하는 것은 특히 리소스가 제한된 조직의 경우 어려운 작업이 될 수 있습니다.

Scribe의 플랫폼은 소프트웨어 제작자에게 안전한 항구 역할을 합니다. 제한된 리소스로도 SLSA 및 SSDF 프레임워크를 쉽게 준수할 수 있습니다.

Scribe를 사용하면 고객이 다음을 준수할 수 있습니다. SSDF 프레임워크 소프트웨어가 변조되지 않았음을 보장하는 증거 기반 허브를 통해 투명성을 향상함으로써 SLSA.

솔루션 요약 받기
NIST SP 800-218(SSDF) 준수

NIST SP 800-218(SSDF) 준수

SSDF는 전체 SDLC에서 발생하는 취약점의 규모와 영향을 줄이는 것을 목표로 합니다. 미국에서 운영 중이거나 운영할 예정인 공급업체는 신속하게 대응하고 SSDF 준수 방법을 배워야 합니다.

SSDF는 따라야 할 체크리스트가 아니라 안전한 소프트웨어 개발을 위한 위험 기반 접근 방식을 계획하고 구현하기 위한 로드맵입니다. 여기에는 투명성을 촉진하고 증거 기반 전략을 사용하여 무단 사용자에 의한 변조로부터 소프트웨어를 보호하는 것이 포함됩니다.

Scribe 사용자는 안전한 개발 및 빌드 프로세스를 보장하거나 변조가 발생하지 않았는지 검증하기 위해 증명에 대한 정책을 적용할 수 있을 뿐만 아니라 새로운 미국 사이버 규정의 기초인 SSDF에 대한 준수 여부도 측정할 수 있습니다.

전체 SSDF 가이드 받기

Scribe는 SSDF 내에서 PS(소프트웨어 보호) 실행 그룹에 초점을 맞춘 최초의 솔루션입니다.

Scribe는 SLSA의 일부 요소와 결합된 잘 알려진 CIS 소프트웨어 공급망 보안 벤치마크를 기반으로 소스 코드의 보호 수준을 결정하기 위해 규칙 기반 평가를 수행합니다.

사용 사례 읽기
SLSA 프레임워크 준수

SLSA 프레임워크 준수

SLSA 소프트웨어 무결성을 보장하는 보안 제어 및 표준에 대한 포괄적인 체크리스트입니다. 개발자, 조직 및 기업이 보안 소프트웨어를 구축하고 사용하는 방법에 대해 정보에 입각한 선택을 할 수 있도록 돕는 것 외에도 전체 소프트웨어 개발 수명주기를 보호하기 위한 4단계 확대 시리즈를 제안합니다.

Scribe를 사용하면 사용자는 SLSA로 규정 준수 확인을 자동화할 수 있습니다. 게다가, 준수하지 않는 특정 영역에서 Scribe는 격차를 줄이기 위해 일련의 실행 가능한 권장 사항을 제공합니다. 이는 2024년까지 미국이 주도하는 새로운 규정을 준수해야 하는 소프트웨어 제작자에게 큰 문제를 해결합니다.

사용 사례 읽기

SW 빌드가 SLSA 레벨 2 또는 레벨 3 요구 사항을 준수하는지 쉽게 확인

Scribe를 사용하면 각 빌드 파이프라인의 일부로 SLSA 출처를 생성하고, 정확히 어떤 SLSA 요구 사항이 통과 또는 실패했는지 확인하고, 모든 문제를 신속하게 해결하고 빌드를 규정 준수 상태로 만들 수 있습니다.

그런 다음 수집된 증거를 관련 이해관계자와 쉽게 공유하여 빌드 또는 제품 규정 준수를 자신있게 입증할 수 있습니다.

다른 도구에 비해 Scribe의 장점

단순히 출처 문서를 작성하는 것이 아닌 전체 정책을 평가합니다.

생산자는 일련의 정책 형태로 파이프라인에 대한 관련 SLSA 정보를 수집할 수 있습니다.

생산자는 파이프라인에서 이러한 정책을 제정하고 정책이 통과했는지 실패했는지 확인할 수 있습니다.

모든 정책 통과는 SLSA 레벨 3을 준수한다는 의미입니다.

무료로 시작

SSDF 및 SLSA 프레임워크는 취약성 관리, 코드 무결성, 출처 검증, 보안 SDLC 프로세스 시행을 포함한 광범위한 영역을 포괄합니다. 그러나 이를 구현하는 것은 특히 리소스가 제한된 조직의 경우 어려운 작업이 될 수 있습니다. 더욱이, 새로운 연방 규정이나 고객의 요구 사항에 대응하여 규정 준수 여부를 명확하게 입증해야 하는 필요성은 결코 사소한 것이 아닙니다.

Scribe를 사용하면 다음을 수행할 수 있습니다.

SBOM 생성, 관리 및 공유

Scribe를 사용하면 상용 소프트웨어 공급업체 및 통합업체가 취약성을 추적하고, SBOM을 생성, 관리하고, 소프트웨어 공급망의 다운스트림 소비자 및 기타 이해관계자와 공유할 수 있습니다.

SBOM 액세스 관리

Scribe는 SBOM에 대한 액세스를 허용하는 계약상의 의무를 허용합니다. 또한 VEX(CISA 표준)를 통해 취약성 위험을 전달합니다.

보호 수준 결정

CIS 소프트웨어 공급망 보안 벤치마킹과 SLSA의 일부 요소를 기반으로 Scribe는 규칙 기반 평가를 수행하여 빌드 파이프라인의 보호 수준을 결정합니다.

유치원에 머물러 라.

IconBurst 기사 이미지 사이버 위험
새로운 NPM 공격인 IconBust
자세히 보기
SSDF 최종 버전 사이버 위험
SSDF(NIST 800-218) 최종 버전 – 초안과의 차이점 및 그 영향
자세히 보기
지속적인 보증 및 소프트웨어 공급망 보안 | 서기 보안 사이버 위험
지속적인 보증: 소프트웨어 공급망 보안을 위한 통합 사례
자세히 보기