近年来,备受瞩目的软件供应链攻击给组织造成了重大损失,促使美国政府推动制定新的网络法规和标准。这导致了 SLSA 和 SSDF 等关键框架的发展,以及 FedRAMP 授权法案成为联邦信息处理中云计算安全的权威方法。
这些框架通过漏洞管理、代码完整性、来源验证、事件响应和安全的 SDLC 流程全面解决软件安全问题。虽然实施这些框架可能具有挑战性,尤其是对于资源有限的组织而言,但当您向下滚动此页面时,您会找到有关每个框架及其特定要求的详细信息。
符合 NIST SP 800-218 (SSDF)
SSDF 旨在减少整个 SDLC 中发生的漏洞的数量和影响。在美国运营或计划运营的供应商必须迅速做出反应并学习如何遵守 SSDF。
SSDF 不是您应该遵循的清单,而是规划和实施基于风险的安全软件开发方法的路线图。这包括提高透明度和使用基于证据的策略来保护软件免受未经授权的用户的篡改。
Scribe 用户不仅可以应用证明策略来确保安全开发和构建流程或验证未发生篡改,还可以衡量对 SSDF 的遵守情况——SSDF 是美国新网络监管的基础
获取完整的 SSDF 指南
Scribe 是第一个专注于 SSDF 内 PS(保护软件)实践组的解决方案
Scribe 根据著名的 CIS 软件供应链安全基准,结合 SLSA 的一些要素,进行基于规则的评估,以确定源代码的保护级别。
阅读用例
轻松验证软件版本是否符合 SLSA 2 级或 3 级要求
Scribe 使您能够创建 SLSA 来源作为每个构建管道的一部分,准确查看哪些 SLSA 要求已通过或失败,并快速解决任何问题并使构建符合要求。
然后,您可以轻松地与相关利益相关者共享收集到的证据,自信地证明您的构建或产品合规性。
使用更少的资源更快地实现 FedRAMP 合规性,同时保持开发速度
Scribe Security 的平台提供了简化和自动化合规流程的关键功能,确保以最少的手动工作更快地完成认证:
- 自动化 SBOM 管理
- SDLC 治理的护栏即代码
- 持续保证:代码签名和来源验证
- 漏洞扫描和风险管理
- 基于证据的合规和报告
Scribe 相对于其他工具的优势
评估整个政策,而不仅仅是生成出处文件
生产商可以通过一系列政策的形式收集有关其管道的相关 SLSA 信息
生产者可以选择在他们的管道上制定这些策略并检查该策略是通过还是失败
所有政策均通过意味着您符合 SLSA 3 级。
SSDF 和 SLSA 框架涵盖广泛的领域,包括漏洞管理、代码完整性、来源验证和安全 SDLC 流程的执行。然而,实施它们可能是一项艰巨的任务,特别是对于资源有限的组织而言。此外,以明确的方式证明合规性以响应新的联邦法规或客户要求的需求绝非微不足道。
借助 Scribe,您可以:
生成、管理和共享 SBOM
Scribe 允许商业软件供应商和集成商跟踪漏洞,生成、管理并与软件供应链中的下游消费者和其他利益相关者共享 SBOM。
管理SBOM访问
Scribe 允许履行合同义务以允许访问 SBOM。它还通过 VEX(CISA 标准)传达漏洞风险。
确定保护级别
基于 CIS 软件供应链安全基准测试和 SLSA 的一些要素,Scribe 进行基于规则的评估,以确定构建管道的保护级别。
