Убедитесь, что у вас есть все необходимое для соблюдения требований формы.
Внедрение лучших практик обеспечения безопасности цепочки поставок программного обеспечения в настоящее время находится в переломном моменте, аналогичном публикации требований соответствия PCI в 2006 году. Как и тогда, новый регламент добавляет существенные требования со стороны руководства компании, в данном случае для подтверждения безопасность своего программного обеспечения и точные средства, используемые для ее достижения.
Предлагаемая форма аттестации разработки безопасного программного обеспечения, хотя и находится в окончательной черновой версии, предложенная DHS – CISA в соответствии с требованиями памятки OMB M-23-16 и ранее в памятке M-22-18, представляет собой обязательство со значительными сопутствующие ему обязательства. Требуется подпись руководства компании, гарантирующая его соответствие требованиям формы. Существует выраженное ожидание, что это лицо/лица смогут подтвердить свою подпись соответствующими доказательствами в случае атаки на цепочку поставок программного обеспечения.
Четыре пункта формы охватывают широкий спектр требований, но не содержат указаний о том, как их соблюдать. Широкое разнообразие технологических стеков, облачных сред, инструментов CI/CD и конфигураций, встречающихся в отрасли, затрудняет сбор всех разнообразных доказательств, необходимых в форме.
Кроме того, существует проблема сроков проверки. Если компания не будет постоянно собирать доказательства, она мало что сможет сделать, чтобы доказать, что она следовала передовым практикам, подписанным.
Автоматический и непрерывный сбор доказательств надежным способом и постоянная проверка политик SDLC, определенных и подписанных компанией, — это правильный способ доказать соблюдение требований формы.
Получите этот информационный документ чтобы узнать, как Scribe может помочь вам автоматически собирать и подписывать доказательства в качестве доказательства укрепления доверия к программному обеспечению.
Мы консультируем, что должно быть частью необходимых доказательств, включая файлы журналов, снимки экрана, файлы конфигурации и т. д. Мы знаем, как собирать доказательства с помощью сторонних инструментов и включать их в остальные доказательства для SDLC и строить конвейеры. Мы помогаем взять эти доказательства и превратить их в неопровержимые, неизменяемые свидетельства, которые сохраняются в безопасном хранилище.
Такие доказательства могут служить действительным подтверждением соответствия SLSA или SSDF. Каждая компания может настраивать свои собственные политики на основе модели проверки подписи.
Платформа Scribe включает все собранные доказательства в удобной для запроса и сегментации форме. Можно просмотреть агрегированное представление SBOM всех сборок и продуктов, полный отчет об устаревших компонентах, подробный отчет об уязвимостях (который включает в себя CVSS оценка и Вероятность ЭПСС), а также отчет о репутации библиотеки, основанный на Система показателей OpenSSF проект.
