Nos últimos anos, ataques de alto perfil à cadeia de fornecimento de software causaram danos significativos às organizações. Estes ataques realçaram a necessidade de melhores práticas de segurança para enfrentar os riscos relacionados com a cadeia de fornecimento de software. Como resultado, o governo dos EUA pressionou por novas regulamentações e padrões cibernéticos. Foi assim que surgiram o SLSA e o SSDF.
Essas estruturas cobrem uma ampla gama de áreas, incluindo gerenciamento de vulnerabilidades, integridade de código, validação de proveniência, resposta a incidentes e aplicação de processos SDLC seguros. No entanto, implementá-los pode ser uma tarefa difícil, especialmente para organizações com recursos limitados.
A plataforma da Scribe serve como um porto seguro para os produtores de software. Permite fácil conformidade com estruturas SLSA e SSDF, mesmo com recursos limitados
A Scribe permite que os clientes cumpram os Estrutura SSDF e SLSA, promovendo a transparência por meio de um hub baseado em evidências que garante que o software não foi adulterado.
Obtenha um resumo da soluçãoEm conformidade com NIST SP 800-218 (SSDF)
O SSDF visa reduzir o volume e o impacto das vulnerabilidades que ocorrem em todo o SDLC. Os fornecedores que operam ou planejam operar nos EUA devem reagir rapidamente e aprender como cumprir o SSDF.
O SSDF não é uma lista de verificação que você deve seguir, mas sim um roteiro para planejar e implementar uma abordagem baseada em riscos para proteger o desenvolvimento de software. Isto inclui a promoção da transparência e a utilização de uma estratégia baseada em evidências para proteger o software de qualquer adulteração por parte de utilizadores não autorizados.
Os usuários do Scribe podem não apenas aplicar uma política sobre atestados para garantir processos seguros de desenvolvimento e construção ou para validar que a adulteração não ocorreu, mas também podem avaliar a conformidade com o SSDF – a base para a nova regulamentação cibernética dos EUA.
Obtenha o guia SSDF completoScribe é a primeira solução focada no grupo de práticas PS (Protect the Software) dentro do SSDF
Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do código-fonte, com base no conhecido benchmark CIS Software Supply Chain Security, combinado com alguns elementos do SLSA.
Leia o caso de usoCumpra a estrutura SLSA
SLSA é uma lista de verificação abrangente de controles e padrões de segurança que garantem a integridade do software. Além de ajudar desenvolvedores, organizações e empresas a fazerem escolhas informadas sobre como construir e consumir software seguro, ele propõe quatro séries crescentes de etapas para proteger todo o ciclo de vida de desenvolvimento de software.
Usando o Scribe, os usuários podem automatizar a validação de conformidade com SLSA. Além disso, nas áreas específicas onde não cumprem, a Scribe fornece um conjunto de recomendações práticas para preencher a lacuna. Isto resolve um enorme problema para os produtores de software que precisam de cumprir a nova regulamentação liderada pelos EUA até 2024.
Leia o caso de usoVerifique facilmente se as compilações de SW estão em conformidade com os requisitos de nível 2 ou 3 do SLSA
O Scribe permite que você crie a origem do SLSA como parte do pipeline de cada um de seus builds, veja exatamente qual requisito de SLSA foi aprovado ou falhou e resolva rapidamente quaisquer problemas e coloque o build em conformidade.
Você pode então compartilhar facilmente as evidências coletadas com as partes interessadas relevantes, demonstrando com segurança a conformidade de sua construção ou produto.
Vantagem do Scribe sobre outras ferramentas
Avalia toda a apólice em vez de apenas produzir um documento de proveniência
Os produtores podem coletar informações relevantes de SLSA sobre seus pipelines, na forma de uma série de políticas
Os produtores podem optar por implementar essas políticas em seu pipeline e verificar se a política foi aprovada ou reprovada
Todas as políticas aprovadas significam que você está em conformidade com o nível 3 do SLSA.
As estruturas SSDF e SLSA cobrem uma ampla gama de áreas, incluindo gerenciamento de vulnerabilidades, integridade de código, validação de proveniência e aplicação de processos SDLC seguros. No entanto, implementá-los pode ser uma tarefa difícil, especialmente para organizações que dispõem de recursos limitados. Além disso, a necessidade de demonstrar conformidade de forma inequívoca em resposta à nova regulamentação federal ou às exigências dos clientes está longe de ser trivial.
Com o Scribe, você pode:
Gere, gerencie e compartilhe SBOMs
O Scribe permite que fornecedores e integradores de software comercial rastreiem vulnerabilidades, gerem, gerenciem e compartilhem SBOMs com consumidores downstream e outras partes interessadas na cadeia de fornecimento de software.
Gerenciar acesso SBOM
Scribe permite obrigações contratuais para permitir acesso a SBOMs. Também comunica o risco de vulnerabilidade através do VEX (um padrão CISA).
Determine o nível de proteção
Com base no benchmarking de segurança da cadeia de suprimentos de software CIS e em alguns elementos do SLSA, a Scribe conduz uma avaliação baseada em regras para determinar o nível de proteção do pipeline de construção.