确保您具备遵守表格要求所需的一切
软件供应链安全最佳实践的采用目前正处于一个分水岭,类似于 2006 年发布 PCI 合规性要求。就像当时一样,新法规增加了公司领导层的重要要求,在本例中,是为了证明他们的软件的安全性以及实现它的确切方法。
拟议的安全软件开发证明表虽然仍处于最终草案版本,但由 DHS – CISA 根据 OMB 的 M-23-16 备忘录和早期的 M-22-18 备忘录的要求提出,是一项具有重大意义的义务。随之而来的负债。它需要公司领导层的签名,以保证他们遵守表格的要求。如果发生软件供应链攻击,人们明确期望该人能够用适当的证据支持他们的签名。
该表格的四个条款涵盖了广泛的要求,但没有提供如何遵守的指导。行业中存在各种各样的技术堆栈、云环境、CI/CD 工具和配置,因此很难收集表格中所需的所有各种证据。
此外,还存在验证时间的问题。除非公司不断收集证据,否则它几乎无法证明其遵循了签署的最佳实践。
以可信的方式自动、持续地收集证据,并不断验证公司定义和签署的 SDLC 政策,是证明表格要求得到遵守的正确方法。
获取这份白皮书 探索 Scribe 如何帮助您自动收集和签署证据,作为建立软件信任的证据。
我们就所需证据中应包含的内容提供建议,包括日志文件、屏幕截图、配置文件等。我们知道如何从第三方工具收集证据,并将其与 SDLC 的其余证据一起包含并构建管道。我们帮助获取这些证据,并将其转化为无可辩驳、不可变的证明,并保存在安全存储中。
此类证据可以作为 SLSA 或 SSDF 合规性的有效证明。每个公司都可以根据签名验证模型定制自己的策略。
Scribe 平台以易于查询和分段的形式包含所有收集的证据。人们可以检查所有构建和产品的聚合 SBOM 视图、完整的过时组件报告、全面的漏洞报告(包括 CVSS分数 和 EPSS概率),以及基于的图书馆声誉报告 OpenSSF 记分卡 项目。
