SDLC, beveiliging en naleving van de toeleveringsketen buiten GitHub

Alle berichten

Doron Peri

De meeste softwareorganisaties gebruiken meerdere platformen voor codebeheer, build, registratie, levering en implementatie. Het beheren van de beveiliging van de SDLC en software-toeleveringsketen vereist een uniform platform dat verder gaat dan de native mogelijkheden van GitHub. Effectief risicobeheer vereist duidelijke traceerbaarheid en governance van code tot cloud, waarbij wordt gewaarborgd dat elke containerimage en vrijgegeven artefact is gekoppeld aan de bron.

Organisaties gebruiken verschillende tools voor veilige applicatieontwikkeling. Dit creëert een behoefte om hun outputs te besturen en te bevestigen als onderdeel van een veilig ontwikkelingsproces (zoals vereist door EO 14144). Dergelijke bevestiging omvat bewijs zoals SBOM's en resultaten van beveiligingsmaatregelen zoals code review scanning, artefactondertekening, build-isolatie en provenance capture.

Moderne applicaties zijn complex en omvatten vaak meerdere artefacten zoals containerimages en samengestelde releases. Het beheren van SDLC en supply chain-beveiliging op product-, versie- en releaseniveau is essentieel voor het genereren van de benodigde attesten en het analyseren van risico's.

Scribe Security pakt deze uitdagingen aan door het volgende aan te bieden:

Contextuele beleidshandhaving

  • Aangepaste beveiligingsbeleidsregels worden toegepast als beveiligde controles bij cruciale stappen (code, build en implementatie) om ervoor te zorgen dat vereiste beveiligingsmaatregelen worden gehandhaafd tijdens het hele ontwikkelingsproces.
  • De beleidsregels van Scribe worden beheerd als code via GitOps, wat een catalogus met 150 vooraf gebouwde beveiligingsbeleidsregels oplevert die zijn gekoppeld aan compliance-frameworks die kunnen worden geforkt, aangepast en uitgebreid.
  • Deze beleidsregels zijn versiebeheerd, waardoor ze bestand zijn tegen manipulatie en consistent worden toegepast in de gehele SDLC.

GitHub vergelijking:

  • Configuratie-opties: GitHub biedt beveiligingsinstellingen (branchbeveiliging, vereiste beoordelingen, geheim scannen, enz.) die per repository of organisatie kunnen worden geconfigureerd.
  • Reikwijdtebeperkingen: Hoewel GitHub-dashboards (bijvoorbeeld Security Overview) inzicht bieden, dwingen ze geen beleid af voor de gehele SDLC.

Integriteit

  • Scribe biedt code- en artefactondertekening, met validatie bij meerdere poorten (bijvoorbeeld build- en admissioncontrol).
  • Het platform ondersteunt ondertekening met door de klant beheerde sleutels via PKI- en Sigstore-integraties.

GitHub vergelijking:

  • Artefact-attestaties: GitHub Actions kan attesten genereren die de herkomst van de build vastleggen en die zijn ondertekend met Sigstore. 
  • Configuratie-afhankelijk: Hiervoor is een bewuste instelling nodig en er is geen ondersteuning voor ondertekening met door de klant beheerde sleutels en validatie op meerdere validatiepunten.

Compliance en supply chain-borging

  • Scribe genereert voortdurend machineleesbare attesten die voldoen aan kaders zoals SLSA en regelgeving zoals EO 14144.
  • Geïntegreerde beveiligingsattesten verzamelen bewijsmateriaal uit het ontwikkelingsproces en kunnen op artefact-, product- en releaseniveau worden samengevoegd voor audits en naleving.

GitHub vergelijking:

  • Herkomst van artefacten en SBOM's: GitHub ondersteunt build provenance en kan SBOM-gegevens exporteren, maar deze functies werken op het niveau van de repository of het artefact en vereisen handmatige aggregatie voor rapportage op ondernemingsniveau.

Risico analyse

  • Scribe beoordeelt voortdurend risico's binnen de SDLC door kwetsbaarheden te detecteren, integriteitsschendingen te identificeren, achtergebleven workloads te markeren en schendingen van het SDLC-beleid te bewaken.
  • Deze geïntegreerde risicoanalyse biedt bruikbare inzichten voor het prioriteren van saneringsmaatregelen.

GitHub Vergelijking:

  • Kwetsbaarheidswaarschuwingen: GitHub biedt waarschuwingen via tools als Dependabot en CodeQL, maar risicogegevens worden vaak opgeslagen in een opslagplaats zonder geïntegreerde analyse van bredere beleids- of integriteitsproblemen.

Continue ontdekking en generatie van afstamming

  • Met Scribe wordt de detectie van ontwikkelmiddelen geautomatiseerd en worden duidelijke code-naar-de-cloud-lineages gecreëerd. Tegelijkertijd worden achtergebleven productiewerklasten die niet traceerbaar zijn, geïdentificeerd.

GitHub vergelijking:

  • Beveiligingsdashboards: het beveiligingsoverzicht van GitHub biedt inzicht in kwetsbaarheden en configuraties in repositories.
  • Beperkte detectie: GitHub detecteert niet automatisch alle ontwikkelingsmiddelen en levert niet automatisch een volledige code-tot-cloud-lijn.

Samenvatting

Hoewel GitHub een scala aan beveiligingsfuncties biedt, vereisen ze vaak handmatige configuratie en ontbreekt het aan uniform, continu toezicht over de gehele SDLC. Scribe Security vult deze hiaten door end-to-end zichtbaarheid, contextuele beleidshandhaving, geïntegreerde attestaties en uitgebreide risicoanalyses te leveren over de gehele softwarelevenscyclus.

Uiteraard zijn de beveiligingsfuncties van GitHub beperkt tot GitHub, terwijl Scribe Security alle DevOps-platforms en CI/CD-tools dekt.

Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.

Gerelateerde berichten

Afbeelding van het bereiken van niveaus
Wat u moet doen om SLSA-niveaus te bereiken – een zeer praktische gids

Achtergrond SLSA (Supply-chain Levels for Software Artefacts) is een beveiligingsframework dat tot doel heeft manipulatie te voorkomen, de integriteit te verbeteren en pakketten en infrastructuur te beveiligen. Het kernconcept van SLSA is dat een software-artefact alleen kan worden vertrouwd als het aan drie eisen voldoet: Het artefact moet een herkomstdocument hebben waarin de oorsprong en het bouwproces ervan worden beschreven.

Een afbeelding van kompas boven code
Navigeren door de SBOM-richtlijnen van de NSA: essentiële stappen voor effectieve beveiliging van de software-toeleveringsketen

In het huidige digitale landschap is softwarebeveiliging van cruciaal belang. De National Security Agency (NSA) heeft in samenwerking met de Cybersecurity and Infrastructure Security Agency (CISA) uitgebreide richtlijnen opgesteld voor het beheer van Software Bill of Materials (SBOM). Deze richtlijnen zijn van cruciaal belang voor organisaties die hun cybersecuritypositie willen versterken en de risico's in hun softwaretoeleveringsketen willen beperken. Waarom […]

Een afbeelding die de EU-wetgeving illustreert
Het verdedigen van uw digitale diensten: een kijkje in de Europese Cyber ​​Resilience Act

Succesvolle cyberaanvallen op zowel hardware- als softwareproducten komen verontrustend vaak voor. Volgens Cybersecurity Ventures heeft cybercriminaliteit de wereld in 7 naar schatting 2022 biljoen dollar gekost. Met zo’n hoog prijskaartje is het geen wonder dat zowel bedrijven als overheden dit opmerken. De VS liepen voorop met het presidentiële uitvoerende bevel […]

populaire berichten
Hoe de Policy-as-Code-beveiligingen van Scribe Security de SDLC-risico's beperken die door alle soorten ontwikkelaars worden geïntroduceerdSamenwerking met NCCoE om de softwaretoeleveringsketen en DevOps-beveiliging te versterkenSDLC, beveiliging en naleving van de toeleveringsketen buiten GitHubBegrijpen en voldoen aan de nieuwe federale softwarebeveiligingsrichtlijn EO 14144: een praktische gids
Categorieën