Nos últimos anos, ataques de alto perfil à cadeia de suprimentos de software causaram danos significativos às organizações, levando o governo dos EUA a pressionar por novas regulamentações e padrões cibernéticos. Isso levou ao desenvolvimento de estruturas-chave como SLSA e SSDF, juntamente com o FedRAMP Authorization Act, que se tornou a abordagem autoritativa para a segurança da computação em nuvem no processamento de informações federais.
Essas estruturas abordam de forma abrangente a segurança de software por meio de gerenciamento de vulnerabilidades, integridade de código, validação de procedência, resposta a incidentes e processos SDLC seguros. Embora implementá-las possa ser desafiador, especialmente para organizações com recursos limitados, você encontrará informações detalhadas sobre cada estrutura e seus requisitos específicos ao rolar para baixo nesta página.
A plataforma da Scribe serve como um porto seguro para os produtores de software. Permite fácil conformidade com estruturas SLSA e SSDF, mesmo com recursos limitados
A Scribe permite que os clientes cumpram os Estrutura SSDF e SLSA, promovendo a transparência por meio de um hub baseado em evidências que garante que o software não foi adulterado.
Obtenha um resumo da soluçãoEm conformidade com NIST SP 800-218 (SSDF)
O SSDF visa reduzir o volume e o impacto das vulnerabilidades que ocorrem em todo o SDLC. Os fornecedores que operam ou planejam operar nos EUA devem reagir rapidamente e aprender como cumprir o SSDF.
O SSDF não é uma lista de verificação que você deve seguir, mas sim um roteiro para planejar e implementar uma abordagem baseada em riscos para proteger o desenvolvimento de software. Isto inclui a promoção da transparência e a utilização de uma estratégia baseada em evidências para proteger o software de qualquer adulteração por parte de utilizadores não autorizados.
Os usuários do Scribe podem não apenas aplicar uma política sobre atestados para garantir processos seguros de desenvolvimento e construção ou para validar que a adulteração não ocorreu, mas também podem avaliar a conformidade com o SSDF – a base para a nova regulamentação cibernética dos EUA.
Obtenha o guia SSDF completoScribe é a primeira solução focada no grupo de práticas PS (Protect the Software) dentro do SSDF
Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do código-fonte, com base no conhecido benchmark CIS Software Supply Chain Security, combinado com alguns elementos do SLSA.
Leia o caso de usoCumpra a estrutura SLSA
SLSA é uma lista de verificação abrangente de controles e padrões de segurança que garantem a integridade do software. Além de ajudar desenvolvedores, organizações e empresas a fazerem escolhas informadas sobre como construir e consumir software seguro, ele propõe quatro séries crescentes de etapas para proteger todo o ciclo de vida de desenvolvimento de software.
Usando o Scribe, os usuários podem automatizar a validação de conformidade com SLSA. Além disso, nas áreas específicas onde não cumprem, a Scribe fornece um conjunto de recomendações práticas para preencher a lacuna. Isto resolve um enorme problema para os produtores de software que precisam de cumprir a nova regulamentação liderada pelos EUA até 2024.
Leia o caso de usoVerifique facilmente se as compilações de SW estão em conformidade com os requisitos de nível 2 ou 3 do SLSA
O Scribe permite que você crie a origem do SLSA como parte do pipeline de cada um de seus builds, veja exatamente qual requisito de SLSA foi aprovado ou falhou e resolva rapidamente quaisquer problemas e coloque o build em conformidade.
Você pode então compartilhar facilmente as evidências coletadas com as partes interessadas relevantes, demonstrando com segurança a conformidade de sua construção ou produto.
Obtenha conformidade com o FedRAMP mais rapidamente, com menos recursos, mantendo a velocidade do seu desenvolvimento
A plataforma da Scribe Security oferece recursos essenciais para agilizar e automatizar os processos de conformidade, garantindo um tempo de certificação mais rápido com o mínimo de esforço manual:
- Gerenciamento automatizado de SBOM
- Guardrails-as-Code para governança SDLC
- Garantia Contínua: Assinatura de Código e Verificação de Proveniência
- Verificação de vulnerabilidades e gerenciamento de riscos
- Conformidade e relatórios baseados em evidências
Vantagem do Scribe sobre outras ferramentas
Avalia toda a apólice em vez de apenas produzir um documento de proveniência
Os produtores podem coletar informações relevantes de SLSA sobre seus pipelines, na forma de uma série de políticas
Os produtores podem optar por implementar essas políticas em seu pipeline e verificar se a política foi aprovada ou reprovada
Todas as políticas aprovadas significam que você está em conformidade com o nível 3 do SLSA.
As estruturas SSDF e SLSA cobrem uma ampla gama de áreas, incluindo gerenciamento de vulnerabilidades, integridade de código, validação de proveniência e aplicação de processos SDLC seguros. No entanto, implementá-los pode ser uma tarefa difícil, especialmente para organizações que dispõem de recursos limitados. Além disso, a necessidade de demonstrar conformidade de forma inequívoca em resposta à nova regulamentação federal ou às exigências dos clientes está longe de ser trivial.
Com o Scribe, você pode:
Gere, gerencie e compartilhe SBOMs
O Scribe permite que fornecedores e integradores de software comercial rastreiem vulnerabilidades, gerem, gerenciem e compartilhem SBOMs com consumidores downstream e outras partes interessadas na cadeia de fornecimento de software.
Gerenciar acesso SBOM
Scribe permite obrigações contratuais para permitir acesso a SBOMs. Também comunica o risco de vulnerabilidade através do VEX (um padrão CISA).
Determine o nível de proteção
Com base no benchmarking de segurança da cadeia de suprimentos de software CIS e em alguns elementos do SLSA, a Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do pipeline de construção.