SDLC, beveiliging en naleving van de toeleveringsketen buiten GitHub

Alle berichten

Doron Peri

De meeste softwareorganisaties gebruiken meerdere platformen voor codebeheer, build, registratie, levering en implementatie. Het beheren van de beveiliging van de SDLC en software-toeleveringsketen vereist een uniform platform dat verder gaat dan de native mogelijkheden van GitHub. Effectief risicobeheer vereist duidelijke traceerbaarheid en governance van code tot cloud, waarbij wordt gewaarborgd dat elke containerimage en vrijgegeven artefact is gekoppeld aan de bron.

Organisaties gebruiken verschillende tools voor veilige applicatieontwikkeling. Dit creëert een behoefte om hun outputs te besturen en te bevestigen als onderdeel van een veilig ontwikkelingsproces (zoals vereist door EO 14144). Dergelijke bevestiging omvat bewijs zoals SBOM's en resultaten van beveiligingsmaatregelen zoals code review scanning, artefactondertekening, build-isolatie en provenance capture.

Moderne applicaties zijn complex en omvatten vaak meerdere artefacten zoals containerimages en samengestelde releases. Het beheren van SDLC en supply chain-beveiliging op product-, versie- en releaseniveau is essentieel voor het genereren van de benodigde attesten en het analyseren van risico's.

Scribe Security pakt deze uitdagingen aan door het volgende aan te bieden:

Contextuele beleidshandhaving

  • Aangepaste beveiligingsbeleidsregels worden toegepast als beveiligde controles bij cruciale stappen (code, build en implementatie) om ervoor te zorgen dat vereiste beveiligingsmaatregelen worden gehandhaafd tijdens het hele ontwikkelingsproces.
  • De beleidsregels van Scribe worden beheerd als code via GitOps, wat een catalogus met 150 vooraf gebouwde beveiligingsbeleidsregels oplevert die zijn gekoppeld aan compliance-frameworks die kunnen worden geforkt, aangepast en uitgebreid.
  • Deze beleidsregels zijn versiebeheerd, waardoor ze bestand zijn tegen manipulatie en consistent worden toegepast in de gehele SDLC.

GitHub vergelijking:

  • Configuratie-opties: GitHub biedt beveiligingsinstellingen (branchbeveiliging, vereiste beoordelingen, geheim scannen, enz.) die per repository of organisatie kunnen worden geconfigureerd.
  • Reikwijdtebeperkingen: Hoewel GitHub-dashboards (bijvoorbeeld Security Overview) inzicht bieden, dwingen ze geen beleid af voor de gehele SDLC.

Integriteit

  • Scribe biedt code- en artefactondertekening, met validatie bij meerdere poorten (bijvoorbeeld build- en admissioncontrol).
  • Het platform ondersteunt ondertekening met door de klant beheerde sleutels via PKI- en Sigstore-integraties.

GitHub vergelijking:

  • Artefact-attestaties: GitHub Actions kan attesten genereren die de herkomst van de build vastleggen en die zijn ondertekend met Sigstore. 
  • Configuratie-afhankelijk: Hiervoor is een bewuste instelling nodig en er is geen ondersteuning voor ondertekening met door de klant beheerde sleutels en validatie op meerdere validatiepunten.

Compliance en supply chain-borging

  • Scribe genereert voortdurend machineleesbare attesten die voldoen aan kaders zoals SLSA en regelgeving zoals EO 14144.
  • Geïntegreerde beveiligingsattesten verzamelen bewijsmateriaal uit het ontwikkelingsproces en kunnen op artefact-, product- en releaseniveau worden samengevoegd voor audits en naleving.

GitHub vergelijking:

  • Herkomst van artefacten en SBOM's: GitHub ondersteunt build provenance en kan SBOM-gegevens exporteren, maar deze functies werken op het niveau van de repository of het artefact en vereisen handmatige aggregatie voor rapportage op ondernemingsniveau.

Risico analyse

  • Scribe beoordeelt voortdurend risico's binnen de SDLC door kwetsbaarheden te detecteren, integriteitsschendingen te identificeren, achtergebleven workloads te markeren en schendingen van het SDLC-beleid te bewaken.
  • Deze geïntegreerde risicoanalyse biedt bruikbare inzichten voor het prioriteren van saneringsmaatregelen.

GitHub Vergelijking:

  • Kwetsbaarheidswaarschuwingen: GitHub biedt waarschuwingen via tools als Dependabot en CodeQL, maar risicogegevens worden vaak opgeslagen in een opslagplaats zonder geïntegreerde analyse van bredere beleids- of integriteitsproblemen.

Continue ontdekking en generatie van afstamming

  • Met Scribe wordt de detectie van ontwikkelmiddelen geautomatiseerd en worden duidelijke code-naar-de-cloud-lineages gecreëerd. Tegelijkertijd worden achtergebleven productiewerklasten die niet traceerbaar zijn, geïdentificeerd.

GitHub vergelijking:

  • Beveiligingsdashboards: het beveiligingsoverzicht van GitHub biedt inzicht in kwetsbaarheden en configuraties in repositories.
  • Beperkte detectie: GitHub detecteert niet automatisch alle ontwikkelingsmiddelen en levert niet automatisch een volledige code-tot-cloud-lijn.

Samenvatting

Hoewel GitHub een scala aan beveiligingsfuncties biedt, vereisen ze vaak handmatige configuratie en ontbreekt het aan uniform, continu toezicht over de gehele SDLC. Scribe Security vult deze hiaten door end-to-end zichtbaarheid, contextuele beleidshandhaving, geïntegreerde attestaties en uitgebreide risicoanalyses te leveren over de gehele softwarelevenscyclus.

Uiteraard zijn de beveiligingsfuncties van GitHub beperkt tot GitHub, terwijl Scribe Security alle DevOps-platforms en CI/CD-tools dekt.

Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.

Gerelateerde berichten

Functieafbeelding
Wat brengt de toekomst voor VEX? En welke invloed zou het op jou hebben?

De snelheid waarmee nieuwe kwetsbaarheden worden onthuld, neemt voortdurend toe. Momenteel bedraagt ​​dit gemiddeld 15,000 CVE's per jaar. 2022 valt op met meer dan 26,000 gerapporteerde nieuwe CVE’s. Uiteraard zijn niet alle kwetsbaarheden relevant voor uw software. Om erachter te komen of een bepaalde kwetsbaarheid een probleem is, moet je eerst uitzoeken [...]

Afbeelding van het bereiken van niveaus
Wat u moet doen om SLSA-niveaus te bereiken – een zeer praktische gids

Achtergrond SLSA (Supply-chain Levels for Software Artefacts) is een beveiligingsframework dat tot doel heeft manipulatie te voorkomen, de integriteit te verbeteren en pakketten en infrastructuur te beveiligen. Het kernconcept van SLSA is dat een software-artefact alleen kan worden vertrouwd als het aan drie eisen voldoet: Het artefact moet een herkomstdocument hebben waarin de oorsprong en het bouwproces ervan worden beschreven.

Afbeelding ter illustratie van de vergelijking
SPDX versus CycloneDX: SBOM-formaten vergeleken

Ondanks de toenemende acceptatie van de Software Bill of Materials (SBOM) als hulpmiddel voor kwetsbaarheidsbeheer en cyberbeveiliging, hebben veel organisaties nog steeds moeite met het begrijpen van de twee populairste SBOM-formaten die tegenwoordig worden gebruikt, SPDX en CycloneDX. In dit artikel vergelijken we deze twee formaten om je te helpen de juiste te kiezen voor […]

populaire berichten
Hoe de Policy-as-Code-beveiligingen van Scribe Security de SDLC-risico's beperken die door alle soorten ontwikkelaars worden geïntroduceerdSamenwerking met NCCoE om de softwaretoeleveringsketen en DevOps-beveiliging te versterkenSDLC, beveiliging en naleving van de toeleveringsketen buiten GitHubBegrijpen en voldoen aan de nieuwe federale softwarebeveiligingsrichtlijn EO 14144: een praktische gids
Categorieën