Как Scribe Security согласуется с руководством Gartner Leader по безопасности цепочки поставок программного обеспечения

20 июня 2024 года компания Gartner опубликовала свой влиятельный отчет LРуководство читателя по безопасности цепочки поставок программного обеспечения, подчеркивая растущую необходимость защиты от атак на цепочку поставок программного обеспечения. С ростом частоты и сложности этих атак организации сталкиваются со значительными рисками, которыми они должны эффективно управлять. В этой статье интерпретируются критические выводы из отчета Gartner. В ней объясняется, как решения Scribe Security соответствуют этим рекомендациям и поддерживают их, позволяя организациям управлять безопасность цепочки поставок программного обеспечения (SSCS) стратегически.

Основные выводы из руководства Gartner

Руководство Gartner предоставляет стратегическую дорожную карту для организаций по защите своих SSCS. Оно подчеркивает необходимость единых стратегий, эффективного обмена информацией и интегрированных методов безопасности на протяжении всего жизненного цикла разработки ПО, а не сосредоточения на конкретных векторах угроз. Отчет предлагает широкий подход к SSCS, который включает следующие области:

1. Уязвимый открытый исходный код: Многие организации полагаются на программное обеспечение с открытым исходным кодом (OSS), которое может стать источником уязвимостей, если не будет должным образом управляться и контролироваться.
2. Фирменный коммерческий код: Помимо рисков, связанных с открытым исходным кодом, проприетарное программное обеспечение может содержать уязвимости, которыми могут воспользоваться злоумышленники.
3. Инфраструктура развития: Слабые стороны среды разработки, такие как небезопасные конвейеры разработки или недостаточный контроль доступа, могут привести к нарушениям безопасности.
4. Вредоносный код в пакетах с открытым исходным кодом: Злоумышленники могут вставлять вредоносный код в популярные пакеты с открытым исходным кодом, который разработчики могут неосознанно использовать.
5. Уязвимости в проприетарном коде: Даже специально разработанное программное обеспечение может содержать ошибки и уязвимости, использование которых может привести к серьезным нарушениям безопасности.

Указывая на эту широкую поверхность атак, Gartner призывает организации разработать комплексную стратегию, которая учитывает риски и уязвимости открытого и закрытого исходного кода в инфраструктуре разработки.

Растущие расходы на атаки на цепочку поставок программного обеспечения

Gartner описывает быстро растущее число и стоимость атак на цепочки поставок программного обеспечения. Ссылаясь на отчет Cybersecurity Ventures/Snyk от октября 2023 года, глобальная стоимость этих атак может достичь почти 138 миллиардов долларов к 2031 году по сравнению с почти 46 миллиардами долларов в 2023 году. Эти цифры подчеркивают значительное финансовое влияние этих атак на бизнес по всему миру и важность инвестирования в SSCS.

Пробелы в текущих усилиях по реализации

Хотя большинство организаций признают важность безопасности цепочки поставок ПО, результаты Gartner указывают на то, что усилия по внедрению часто раздроблены и нескоординированы, как показал опрос Gartner 2023 года. В опросе две трети организаций работали над инициативами SSCS, но их усилия обычно были недостаточными. К распространенным проблемам относится сосредоточение внимания на безопасности приложений без решения вопросов безопасности среды разработки, что приводит к пробелам, которыми могут воспользоваться злоумышленники.

Будущее внедрения SSCS

Gartner рекомендует в качестве планового предположения, что к 2027 году 80% организаций внедрят специализированные процессы и инструменты на всех предприятиях для снижения рисков SSCS, по сравнению с 50% в 2023 году. Этот рост отражает растущее понимание критической важности стратегии SSCS и потребности в решениях, которые интегрируют безопасность на протяжении всего жизненного цикла разработки программного обеспечения.

Важность координации и автоматизации

Для создания эффективной SSCS Gartner обсуждает необходимость координации и обмена информацией в масштабах всей организации. Автоматизация играет важную роль в этой стратегии, обеспечивая последовательное применение политик безопасности и своевременную оценку безопасности на протяжении всего жизненного цикла разработки программного обеспечения. Автоматизированные процессы снижают зависимость от ручного вмешательства, минимизируют человеческие ошибки и обеспечивают последовательное применение мер безопасности на всех этапах разработки, от создания кода до развертывания.

Платформа Scribe Security соответствует этим принципам, внедряя автоматизированные процессы, которые улучшают обнаружение угроз в реальном времени, мониторинг соответствия и обеспечение соблюдения политик. Предложение автоматизации как части решения SSCS обеспечивает проактивное и эффективное управление рисками, помогая организациям избегать возникающих угроз.

Координация заинтересованных сторон

Эффективная SSCS требует сотрудничества между различными заинтересованными сторонами, включая группы безопасности, разработку программного обеспечения, закупки, управление рисками поставщиков и операционную безопасность. Каждая группа играет свою роль в поддержании безопасной цепочки поставок программного обеспечения, а координация между этими заинтересованными сторонами помогает обеспечить согласованный стандарт и практику SSCS.

Совместная платформа Scribe Security облегчает межорганизационную координацию, обеспечивая коммуникацию и обмен информацией, а также предлагая унифицированный вид данных безопасности. Это помогает, например, быстро реагировать на потенциальные угрозы и поддерживать последовательный подход к SSCS.

Инструменты и технологии

Учитывая сложность современных цепочек поставок ПО, Gartner рекомендует использовать специализированные инструменты, разработанные для поддержки различных этапов жизненного цикла SSCS. Организациям следует начать с оценки критических этапов, чтобы расставить приоритеты в отношении инструментов и функций, которые наилучшим образом соответствуют их потребностям. Scribe Security предоставляет комплексный набор инструментов, предназначенных для управления рисками на протяжении всего жизненного цикла ПО, от разработки до развертывания и далее.

Три столпа безопасности цепочки поставок программного обеспечения и как Scribe решает их

Gartner выделяет три важнейших столпа для достижения адекватной безопасности цепочки поставок ПО: курирование, создание и потребление. Эти столпы представляют собой основу для разработки организациями эффективной стратегии SSCS. Scribe Security предлагает возможности, соответствующие каждому из этих столпов, для защиты всех аспектов цепочки поставок ПО.

1. Куратор

Курирование включает управление рисками, связанными со сторонними библиотеками, используемыми в качестве зависимостей в течение жизненного цикла разработки ПО. Сторонние компоненты могут вносить уязвимости, если их не проверять и не контролировать должным образом. Gartner рекомендует внедрять процессы и инструменты для оценки зависимостей для безопасности, операционного риска, соответствия законодательству и автоматизированного применения политик, чтобы предотвратить использование рискованных или несанкционированных зависимостей.

Как Scribe соотносится с принципом викарного служения:

• Автоматизированный анализ зависимостей: Scribe автоматически анализирует зависимости программного обеспечения до, во время и после разработки. Этот непрерывный мониторинг автоматически оценивает изменения в зависимостях на предмет потенциальных рисков безопасности.
• Комплексный сбор разведывательной информации: Scribe собирает подробную информацию о каждой зависимости, включая информацию об известных уязвимостях, оценках репутации (например, от OpenSSF), доступных исправлениях и информации о лицензировании. Эти данные помогают организациям принимать обоснованные решения о том, какие зависимости использовать.
• Инвентаризация расширенной спецификации программного обеспечения (SBOM): Scribe управляет всей информацией о зависимостях в обогащенном инвентаре SBOM. Этот инвентарь обеспечивает четкое и всеобъемлющее представление всех компонентов программного обеспечения, что упрощает отслеживание и управление рисками.
• Автоматизированное применение политики: Scribe применяет автоматизированные политики для оповещения, блокировки или разрешения внешних зависимостей на основе предопределенных критериев. Эти политики могут обрабатывать риски безопасности, операционные, юридические и риски соответствия, легко настраиваются как код и управляются изначально с помощью GitOps. Такой подход способствует использованию только безопасных и одобренных зависимостей.

2. Создавать

Столп Create фокусируется на защите программного обеспечения от внедрения вредоносного кода на разных этапах процесса разработки. Это требует отслеживания зависимостей, защиты сред разработки, обеспечения происхождения и целостности артефактов и внедрения строгих мер контроля и политик безопасности.

Как Scribe соотносится с принципом «Создать»:

• Подход к обеспечению безопасности сверху вниз: Scribe использует подход сверху вниз для защиты программного обеспечения на протяжении всего жизненного цикла разработки. Этот подход включает в себя обнаружение всех конвейеров жизненного цикла разработки программного обеспечения (SDLC) в организации, от создания кода до развертывания в облаке или выпуска.
• Непрерывный мониторинг: Scribe отслеживает весь жизненный цикл разработки, включая фазы до и после развертывания. Этот постоянный мониторинг помогает выявлять и снижать риски безопасности на каждом этапе разработки.
• Криптографическое подписание артефактов: Scribe гарантирует, что доказательства и все хэши промежуточных и окончательных артефактов криптографически подписаны. Эта практика обеспечивает готовое происхождение для каждого созданного артефакта, гарантируя целостность и подлинность компонентов программного обеспечения.
• Сеть знаний и инвентаризация SBOM: Хранилище доказательств Scribe действует как граф знаний и инвентарь SBOM, отслеживая все компоненты, используемые в проектах и ​​производстве с контекстом. Это отслеживание позволяет получать оповещения в реальном времени о наличии уязвимых артефактов по мере публикации новых уязвимостей.
• Применение политики: Scribe применяет политики безопасности во время процессов сборки, контроля допуска и сканирования офлайн-репозитория. Эти политики управляются как код с помощью GitOps, что делает их неотъемлемой частью SDLC и обеспечивает последовательное применение контроля безопасности.
• Планы соответствия: Scribe предлагает фреймворковые чертежи, такие как Supply Chain Levels for Software Artifacts (SLSA) и Secure Software Development Framework (SSDF), для обеспечения или мониторинга соответствия на основе продукта за продуктом и версии за версией. Эти чертежи обеспечивают стандартизированный подход к безопасности и соответствию, помогая организациям соответствовать отраслевым стандартам.

3. Потребляйте

Столп «Потребление» снижает риски, связанные со сторонним пакетным программным обеспечением, будь то коммерческое готовое (COTS) или OSS. Это включает оценку программного обеспечения перед приобретением, обеспечение прозрачности в составе программного обеспечения, проведение специализированного тестирования и внедрение надежных процессов для SBOM и других артефактов безопасности.

Как Scribe соотносится с принципом потребления:

• Совместная платформа для заинтересованных сторон SSCS: Scribe предоставляет совместную платформу, которая облегчает коммуникацию и обмен информацией между заинтересованными сторонами SSCS внутри и за пределами организации. Поставщики Scribe могут делиться со своими клиентами SBOM, рекомендациями по обмену уязвимостями (VEX) и подтверждениями соответствия, такими как происхождение SLSA.
• Единый Источник Истины: Scribe позволяет различным внутренним заинтересованным сторонам — разработчикам, центрам безопасности (SOC), группам управления, риска и соответствия (GRC) и юридическим отделам — просматривать единый источник истины. Это централизованное представление обеспечивает соблюдение политик приемлемого риска на протяжении всего жизненного цикла программного продукта.
• Проактивное взаимодействие с поставщиками: Scribe помогает организациям активно взаимодействовать со своими поставщиками для обеспечения соответствия и безопасности. Это соответствует акценту Gartner на прозрачности и тщательной оценке. Платформа Scribe позволяет организациям отслеживать методы обеспечения безопасности поставщиков и обеспечивать соответствие стороннего программного обеспечения их стандартам безопасности.
• Генерация и управление SBOM: Scribe позволяет потребителям программного обеспечения генерировать SBOM для полученных программных артефактов или поглощать SBOM и данные VEX, предоставляемые поставщиками. Эта функциональность позволяет потребителям поддерживать актуальный перечень всех компонентов, используемых в упакованных продуктах, отслеживать новые уязвимости и принимать своевременные меры для снижения рисков.
• Поддержка реагирования на инциденты: Собранные доказательства и сопоставление родословной выпущенных программных артефактов создают подотчетность и предоставляют критически важную криминалистическую информацию для реагирования на инциденты. Эта возможность повышает способность организации быстро и эффективно реагировать на инциденты безопасности.

Почему стоит выбрать Scribe Security?

Scribe Security предлагает широкий и комплексный подход к безопасности цепочки поставок программного обеспечения, соответствующий акценту Gartner на автоматизации, координации и проактивном управлении рисками. Решение Scribe встроено в SDLC организации, автоматизируя создание доказательств безопасности, применяя контроль целостности и происхождения и применяя политики в качестве защитных барьеров на протяжении всего жизненного цикла программного обеспечения.

Основные преимущества Scribe Security:

• Сквозная автоматизация: Scribe автоматизирует процессы безопасности, снижая необходимость в ручном контроле и ускоряя проверки соответствия. Это включает в себя автоматизированные проверки соответствия на этапах сборки и развертывания, подписание артефактов, проверку кода, внедрение сканеров безопасности и устранение серьезных уязвимостей.
• Сотрудничество между заинтересованными сторонами: Платформа Scribe улучшает сотрудничество заинтересованных сторон, выступая в качестве единого источника истины, который предоставляет контекст, информацию о цепочке поставок и отслеживание программных артефактов. Это поддерживает скоординированные усилия по управлению безопасностью в разных отделах и с внешними партнерами.
• Управление рисками поставщиков: Scribe улучшает управление рисками поставщиков, позволяя организациям оценивать и управлять критически важными доказательствами цепочки поставок, такими как SBOM, происхождение SLSA и подтверждения соответствия. Эта возможность помогает производителям и потребителям гарантировать, что их цепочки поставок программного обеспечения соответствуют стандартам безопасности и регулирования.
• Интеграция со сканерами безопасности приложений: Scribe интегрируется с популярными сканерами безопасности приложений, позволяя организациям применять политики безопасности к результатам и поддерживать единое представление об общем состоянии безопасности.

Готовы ли вы изменить свой подход к обеспечению безопасности цепочки поставок программного обеспечения?

Gartner, Руководство для лидеров по безопасности цепочки поставок программного обеспечения подчеркивает критическую необходимость для организаций принять комплексные и скоординированные стратегии SSCS. Организации могут эффективно управлять рисками, повышать безопасность и обеспечивать соответствие нормативным требованиям, внедряя трехстороннюю структуру — Curate, Create и Consume — и используя передовые инструменты и процессы, такие как предлагаемые Scribe Security. Растущее финансовое влияние атак на цепочки поставок программного обеспечения и меняющиеся нормативные ландшафты заставляют организации уделять первоочередное внимание усилиям SSCS.

Вот небольшая шпаргалка, которая суммирует, как вы можете использовать платформу Scribe Security. Если вы хотите узнать больше запланировать демонстрацию чтобы увидеть это в действии.

Статьи по теме

Защита ваших цифровых услуг: взгляд изнутри на Европейский закон о киберустойчивости

Успешные кибератаки на аппаратные и программные продукты становятся тревожно частыми. По данным Cybersecurity Ventures, в 7 году киберпреступность обошлась миру примерно в 2022 триллионов долларов США. Учитывая столь высокую цену, неудивительно, что и компании, и правительства обращают на это внимание. США лидировали, выпустив президентский указ […]

Что скрывается в вашем коде?

Вы не можете доверять подписанным продуктам и обновлениям поставщиков, поскольку ваш собственный код мог уже быть изменен или дополнен. Что же тогда вы можете сделать, чтобы быть уверенным, что вы не устанавливаете вредоносные файлы в свою систему?

Что изменилось в системе кибербезопасности NIST 2.0 и почему вас это должно волновать?

В начале августа Национальный институт стандартов и технологий США (NIST) опубликовал проект версии 2.0 своей знаковой концепции кибербезопасности, впервые опубликованной в 2014 году. За последние 10 лет многое изменилось, не последним из которых является растущий уровень кибербезопасности. угрозы кибербезопасности, которые в исходном документе призваны помочь критически важным […]