大多数软件组织使用多个平台进行代码管理、构建、注册、交付和部署。管理 SDLC 和软件供应链的安全性需要一个统一的平台,该平台超越了 GitHub 的原生功能。有效的风险管理需要从代码到云的明确可追溯性和治理——确保每个容器映像和发布的工件都与其来源相关联。
组织使用各种工具进行安全的应用程序开发。因此,需要作为安全开发流程的一部分来管理和证明其输出(根据 EO 14144 的要求)。此类证明包括 SBOM 等证据以及代码审查扫描、工件签名、构建隔离和出处捕获等安全措施的结果。
现代应用程序非常复杂,通常涉及多个工件,例如容器映像和复合版本。在产品、版本和版本级别管理 SDLC 和供应链安全对于生成必要的证明和分析风险至关重要。
Scribe Security 通过提供以下服务来解决这些挑战:
上下文策略执行
- 自定义安全策略作为门控应用于关键步骤(编码、构建和部署),以确保在整个开发过程中执行所需的安全措施。
- Scribe 的策略通过 GitOps 作为代码进行管理,提供 150 个预构建的安全策略目录,这些策略映射到可分叉、定制和扩展的合规框架。
- 这些策略是版本控制的,确保它们不会被篡改,并在整个 SDLC 中一致应用。
GitHub 比较:
- 配置选项: GitHub 提供可按存储库或组织配置的安全设置(分支保护、必需审核、秘密扫描等)。
- 范围限制: 虽然 GitHub 仪表板(例如安全概览)提供了可见性,但它们不会在整个 SDLC 中强制执行策略。
诚信
- Scribe 提供代码和工件签名,并在多个门户进行验证(例如,构建和准入控制)。
- 该平台支持使用 PKI 和 Sigstore 集成对客户管理密钥进行签名。
GitHub 比较:
- 工件证明:GitHub Actions 可以生成捕获构建来源并使用 Sigstore 签名的证明。
- 配置相关:这需要精心设置,并且不支持使用客户管理的密钥进行签名和在多个验证点进行验证。
合规与供应链保障
- Scribe 持续生成符合 SLSA 等框架和 EO 14144 等法规的机器可读证明。
- 集成安全证明可捕获开发过程中的证据,并可在工件、产品和发布级别进行汇总,以供审计和合规。
GitHub 比较:
- 文物出处和 SBOM: GitHub 支持构建来源并可以导出 SBOM 数据,但这些功能在存储库或工件级别运行,并且需要手动聚合以进行企业范围的报告。
风险分析
- Scribe 通过检测漏洞、识别完整性漏洞、标记孤立工作负载以及监控 SDLC 策略违规行为来持续评估整个 SDLC 的风险。
- 这种综合风险分析为确定补救措施的优先顺序提供了可行的见解。
GitHub上 比较:
- 漏洞警报:GitHub 通过 Dependabot 和 CodeQL 等工具提供警报,但风险数据通常被存储库孤立,而没有对更广泛的策略或完整性问题进行综合分析。
持续发现和谱系生成
- Scribe 自动发现开发资产并创建清晰的代码到云谱系,同时识别缺乏可追溯性的孤立生产工作负载。
GitHub 比较:
- 安全仪表板:GitHub 的安全概述提供了对各个存储库的漏洞和配置的见解。
- 有限的发现:GitHub 不会自动发现所有开发资产或提供从代码到云端的端到端沿袭。
总结
虽然 GitHub 提供了一系列安全功能,但它们通常需要手动配置,并且缺乏对整个 SDLC 的统一、持续监督。Scribe Security 通过在整个软件生命周期中提供端到端可视性、上下文策略实施、集成证明和全面的风险分析来填补这些空白。
当然,GitHub 的安全功能仅限于 GitHub,而 Scribe Security 则涵盖了所有 DevOps 平台和 CI/CD 工具。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
