Português
English
Français
Deutsch
हिन्दी
Italiano
日本語
한국어
Español
Nos últimos anos, ataques de alto perfil à cadeia de suprimentos de software causaram danos significativos às organizações, levando o governo dos EUA a pressionar por novas regulamentações e padrões cibernéticos. Isso levou ao desenvolvimento de estruturas-chave como SLSA e SSDF, juntamente com o FedRAMP Authorization Act, que se tornou a abordagem autoritativa para a segurança da computação em nuvem no processamento de informações federais.
Essas estruturas abordam de forma abrangente a segurança de software por meio de gerenciamento de vulnerabilidades, integridade de código, validação de procedência, resposta a incidentes e processos SDLC seguros. Embora implementá-las possa ser desafiador, especialmente para organizações com recursos limitados, você encontrará informações detalhadas sobre cada estrutura e seus requisitos específicos ao rolar para baixo nesta página.
A plataforma da Scribe serve como um porto seguro para os produtores de software. Permite fácil conformidade com estruturas SLSA e SSDF, mesmo com recursos limitados
A Scribe permite que os clientes cumpram os Estrutura SSDF e SLSA, promovendo a transparência por meio de um hub baseado em evidências que garante que o software não foi adulterado.
Obtenha um resumo da solução
Em conformidade com NIST SP 800-218 (SSDF)
O SSDF visa reduzir o volume e o impacto das vulnerabilidades que ocorrem em todo o SDLC. Os fornecedores que operam ou planejam operar nos EUA devem reagir rapidamente e aprender como cumprir o SSDF.
O SSDF não é uma lista de verificação que você deve seguir, mas sim um roteiro para planejar e implementar uma abordagem baseada em riscos para proteger o desenvolvimento de software. Isto inclui a promoção da transparência e a utilização de uma estratégia baseada em evidências para proteger o software de qualquer adulteração por parte de utilizadores não autorizados.
Os usuários do Scribe podem não apenas aplicar uma política sobre atestados para garantir processos seguros de desenvolvimento e construção ou para validar que a adulteração não ocorreu, mas também podem avaliar a conformidade com o SSDF – a base para a nova regulamentação cibernética dos EUA.
Obtenha o guia SSDF completo
Scribe é a primeira solução focada no grupo de práticas PS (Protect the Software) dentro do SSDF
Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do código-fonte, com base no conhecido benchmark CIS Software Supply Chain Security, combinado com alguns elementos do SLSA.
Leia o caso de uso
Cumpra a estrutura SLSA
SLSA é uma lista de verificação abrangente de controles e padrões de segurança que garantem a integridade do software. Além de ajudar desenvolvedores, organizações e empresas a fazerem escolhas informadas sobre como construir e consumir software seguro, ele propõe quatro séries crescentes de etapas para proteger todo o ciclo de vida de desenvolvimento de software.
Usando o Scribe, os usuários podem automatizar a validação de conformidade com SLSA. Além disso, nas áreas específicas onde não cumprem, a Scribe fornece um conjunto de recomendações práticas para preencher a lacuna. Isto resolve um enorme problema para os produtores de software que precisam de cumprir a nova regulamentação liderada pelos EUA até 2024.
Leia o caso de uso
Verifique facilmente se as compilações de SW estão em conformidade com os requisitos de nível 2 ou 3 do SLSA
O Scribe permite que você crie a origem do SLSA como parte do pipeline de cada um de seus builds, veja exatamente qual requisito de SLSA foi aprovado ou falhou e resolva rapidamente quaisquer problemas e coloque o build em conformidade.
Você pode então compartilhar facilmente as evidências coletadas com as partes interessadas relevantes, demonstrando com segurança a conformidade de sua construção ou produto.
Obtenha conformidade com o FedRAMP mais rapidamente, com menos recursos, mantendo a velocidade do seu desenvolvimento
A plataforma da Scribe Security oferece recursos essenciais para agilizar e automatizar os processos de conformidade, garantindo um tempo de certificação mais rápido com o mínimo de esforço manual:
- Gerenciamento automatizado de SBOM
- Guardrails-as-Code para governança SDLC
- Garantia Contínua: Assinatura de Código e Verificação de Proveniência
- Verificação de vulnerabilidades e gerenciamento de riscos
- Conformidade e relatórios baseados em evidências
Navegando pelos requisitos do Formulário de Atestado de Desenvolvimento de Software Seguro da CISA
Nós estamos aqui para ajudar você:
- O Scribe gera evidências, assina criptograficamente essas evidências em uma atestação e verifica essas evidências como parte de qualquer política necessária para impor o processo de produção de software
- Aconselhamos sobre o que deve fazer parte das evidências necessárias, incluindo arquivos de log, capturas de tela, arquivos de configuração e assim por diante.
- Sabemos como coletar evidências de ferramentas de terceiros e incluí-las com o restante das evidências para SDLC e construir pipelines.
- Ajudamos a pegar essas evidências e transformá-las em atestados irrefutáveis e imutáveis que são salvos em um armazenamento seguro.
Conhecendo a Nova Lei Federal de Segurança de Software EO 14144
A plataforma baseada em atestado da Scribe garante total conformidade da segurança da cadeia de suprimentos de software com o novo mandato federal. A principal vantagem do Scribe é seu modelo de garantia contínua, que inclui:
- Integração perfeita com fluxos de trabalho de CI/CD (no local ou na nuvem).
- Verificações de segurança em tempo real, incluindo varredura de vulnerabilidades, conformidade de licenças e aplicação de políticas.
- Evidências imutáveis e assinadas para cada etapa de verificação, formando uma cadeia segura de atestados.
- Aplicação automatizada de políticas para bloquear compilações não compatíveis, evitando a implantação de software de risco.
Cumpra com a DORA - Fortalecendo a resiliência operacional digital em serviços financeiros
A Scribe Security oferece uma solução holística ao automatizar os controles de segurança em todo o SDLC, garantindo que cada versão atenda aos rigorosos padrões de segurança e fornecendo evidências de conformidade verificáveis e legíveis por máquina.
A Scribe Security ajuda organizações do setor financeiro não apenas a cumprir a DORA, mas também a construir uma base de software resiliente e segura.
Obtenha o White Paper Completo Agora
Capacitando a conformidade com a segurança cibernética para fabricantes de dispositivos médicos
A Diretrizes de segurança cibernética em dispositivos médicos da FDA descreve requisitos rigorosos para gerenciamento de riscos, desenvolvimento seguro de software e vigilância contínua durante todo o ciclo de vida de um dispositivo.
A plataforma da Scribe Security gera SBOM e gerencia o risco associado em todo o SDLC, incorpora a segurança diretamente no SDLC, automatiza atestados contínuos e gera evidências verificáveis, fornecendo aos fabricantes de dispositivos médicos as ferramentas necessárias para atender aos requisitos da FDA e proteger seus produtos.
Obtenha o White Paper Completo Agora
Capacitar produtores de software para cumprir a Lei de Resiliência Cibernética da UE
A Lei de Resiliência Cibernética da UE (EU CRA) estabelece requisitos abrangentes de segurança cibernética para produtos digitais, exigindo que os produtores de software adotem práticas de segurança desde a concepção e mantenham uma segurança rigorosa da cadeia de suprimentos.
A plataforma holística da Scribe Security automatiza e aplica a segurança em todo o ciclo de vida de desenvolvimento de software (SDLC), garantindo que o software seja desenvolvido, lançado e mantido de acordo com a CRA da UE.
Obtenha o White Paper Completo AgoraVantagem do Scribe sobre outras ferramentas
Avalia toda a apólice em vez de apenas produzir um documento de proveniência
Os produtores podem coletar informações relevantes de SLSA sobre seus pipelines, na forma de uma série de políticas
Os produtores podem optar por implementar essas políticas em seu pipeline e verificar se a política foi aprovada ou reprovada
Todas as políticas aprovadas significam que você está em conformidade com o nível 3 do SLSA.
As estruturas SSDF e SLSA cobrem uma ampla gama de áreas, incluindo gerenciamento de vulnerabilidades, integridade de código, validação de proveniência e aplicação de processos SDLC seguros. No entanto, implementá-los pode ser uma tarefa difícil, especialmente para organizações que dispõem de recursos limitados. Além disso, a necessidade de demonstrar conformidade de forma inequívoca em resposta à nova regulamentação federal ou às exigências dos clientes está longe de ser trivial.
Com o Scribe, você pode:
Gere, gerencie e compartilhe SBOMs
O Scribe permite que fornecedores e integradores de software comercial rastreiem vulnerabilidades, gerem, gerenciem e compartilhem SBOMs com consumidores downstream e outras partes interessadas na cadeia de fornecimento de software.
Gerenciar acesso SBOM
Scribe permite obrigações contratuais para permitir acesso a SBOMs. Também comunica o risco de vulnerabilidade através do VEX (um padrão CISA).
Determine o nível de proteção
Com base no benchmarking de segurança da cadeia de suprimentos de software CIS e em alguns elementos do SLSA, a Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do pipeline de construção.
