Zorg ervoor dat u beschikt over wat nodig is om aan de vereisten van het formulier te voldoen
De adoptie van best practices voor de beveiliging van de softwaretoeleveringsketen bevindt zich momenteel in een keerpunt, vergelijkbaar met de publicatie van de PCI-compliance-eisen in 2006. Net als toen voegt de nieuwe regelgeving aanzienlijke eisen toe aan de leiding van bedrijven, in dit geval, om te getuigen van de beveiliging van hun software en de exacte middelen die worden gebruikt om dit te bereiken.
Het voorgestelde Secure Software Development Attestation Form, hoewel nog in een definitieve conceptversie, naar voren gebracht door DHS – CISA naar aanleiding van de vereisten van de M-23-16 memo van de OMB en eerder in de M-22-18 memo, is een verplichting met aanzienlijke verplichtingen die daarmee gepaard gaan. Het vereist de handtekening van de leiding van het bedrijf, waarmee wordt gegarandeerd dat zij voldoen aan de vereisten van het formulier. Er wordt uitdrukkelijk verwacht dat die persoon/personen hun handtekening kunnen onderbouwen met het juiste bewijsmateriaal, mocht er een aanval op de software-toeleveringsketen plaatsvinden.
De vier clausules van het formulier bestrijken een breed scala aan vereisten, maar bieden geen richtlijnen voor de manier waarop hieraan moet worden voldaan. De grote verscheidenheid aan tech-stacks, cloudomgevingen, CI/CD-tools en configuraties die in de branche te vinden zijn, maken het moeilijk om al het gevarieerde bewijsmateriaal te verzamelen dat in het formulier nodig is.
Daarnaast is er de kwestie van de verificatietiming. Tenzij het bedrijf voortdurend bewijsmateriaal verzamelt, zal het weinig kunnen doen om te bewijzen dat het de ondertekende best practices heeft gevolgd.
Het automatisch en continu verzamelen van het bewijsmateriaal op een vertrouwde manier en het voortdurend verifiëren van het SDLC-beleid dat het bedrijf heeft gedefinieerd en ondertekend, is de juiste manier om te bewijzen dat aan de vereisten van het formulier is voldaan.
Koop dit witboek om te ontdekken hoe Scribe u kan helpen automatisch bewijsmateriaal te verzamelen en te ondertekenen als bewijs voor het opbouwen van vertrouwen in software.
Wij adviseren over wat deel moet uitmaken van het vereiste bewijsmateriaal, inclusief logbestanden, screenshots, configuratiebestanden, enzovoort. We weten hoe we bewijsmateriaal uit tools van derden moeten verzamelen en dit bij de rest van het bewijsmateriaal voor SDLC kunnen voegen en pijplijnen kunnen bouwen. Wij helpen dit bewijsmateriaal om te zetten in onweerlegbare, onveranderlijke attesten die in een beveiligde opslagplaats worden bewaard.
Dergelijk bewijs kan dienen als geldige verklaring voor naleving van SLSA of SSDF. Elk bedrijf kan zijn eigen beleid aanpassen op basis van het sign-verify-model.
Het Scribe-platform bevat al het verzamelde bewijsmateriaal in een eenvoudig te bevragen en te segmenteren vorm. U kunt het geaggregeerde SBOM-overzicht van alle builds en producten bekijken, een volledig rapport over verouderde componenten, een uitgebreid rapport over kwetsbaarheden (inclusief een CVSS-score en een EPSS-waarschijnlijkheid), en een bibliotheekreputatierapport gebaseerd op de OpenSSF-scorekaart project.
