Sicherheitsstatus bewerten

Der Sicherheitsstatus bezeichnet die Fähigkeit einer Organisation, Bedrohungen zu erkennen, darauf zu reagieren und zu beheben. Sie umfasst die Bereitschaft der Mitarbeiter, Hardware, Software, Richtlinien und Prozesse einer Organisation über den gesamten Softwarelebenszyklus hinweg.

Es gibt eine Reihe von Frameworks und Tools, mit denen Sie Ihren Sicherheitsstatus bewerten und Möglichkeiten zur Minderung von Bedrohungen finden können.

Praktiken für die Softwarebereitstellung

Ein starker Sicherheitsstatus erfordert eine solide Grundlage in Best Practices für die Softwarebereitstellung. Diese Praktiken gehen über die Implementierung von Tools und technischen Kontrollen hinaus. Wenn beispielsweise der Genehmigungsprozess für Änderungen unklar ist, können unerwünschte Änderungen einfacher in die Softwarelieferkette eindringen. Wenn Teams davon abgeraten werden, Probleme zu melden, zögern sie möglicherweise, Sicherheitsbedenken zu melden.

DevOps Research and Assessment (DORA) führt unabhängige Untersuchungen zu den Praktiken und Fähigkeiten von Hochleistungs-Technologieteams durch. Verwenden Sie die folgenden DORA-Ressourcen, um die Leistung Ihres Teams zu bewerten und Verbesserungsmöglichkeiten zu finden:

  • Machen Sie den DORA-DevOps-Schnelltest, um schnell Feedback dazu zu erhalten, wie Ihre Organisation im Vergleich zu anderen abschneidet.
  • Informieren Sie sich über die technischen, prozessbezogenen, Mess- und kulturellen capabilities, die von DORA ermittelt wurden.

Frameworks für den Sicherheitsstatus

Das NIST Secure Software Development Framework (SSDF) und das Cybersecurity Assessment Framework (CAF) sind Rahmenwerke, die von Behörden entwickelt wurden, um Organisationen dabei zu unterstützen, ihren Sicherheitsstatus zu bewerten und Bedrohungen der Lieferkette zu minimieren. Diese Frameworks berücksichtigen den Lebenszyklus der Softwareentwicklung sowie andere Aspekte der Softwaresicherheit, z. B. Reaktionspläne für Vorfälle. Die Komplexität und der Umfang dieser Frameworks können einen erheblichen Zeit- und Ressourcenaufwand erfordern.

Supply Chain Levels for Software Artifacts (SLSA) ist ein Framework, das darauf abzielt, die Implementierung von Bewertungen und Abwehrmaßnahmen offener und inkrementeller zu gestalten. Darin werden Lieferkettenbedrohungen und zugehörige Risikominderungen erläutert. Außerdem werden Beispiele für Tools zur Implementierung dieser Maßnahmen genannt. Außerdem werden Anforderungen zur Stärkung Ihres Sicherheitsstatus in Stufen gruppiert, sodass Sie Änderungen priorisieren und schrittweise implementieren können. SLSA konzentriert sich in erster Linie auf die Pipeline der Softwarebereitstellung. Daher sollten Sie es zusammen mit anderen Bewertungstools wie SSDF und CAF verwenden.

SLSA basiert auf der internen Binärautorisierung für Borg von Google, einer obligatorischen Erzwingungsprüfung für alle Produktionsarbeitslasten von Google.

Software Delivery Shield ist eine vollständig verwaltete Lösung für die Sicherheit der Softwarelieferkette in Google Cloud, die Best Practices in SLSA einbezieht. Sie können Statistiken zu Ihrem Sicherheitsstatus aufrufen, einschließlich der SLSA-Ebene Ihrer Builds.

Artefakt- und Abhängigkeitsmanagement

Der Einblick in Sicherheitslücken in Ihrer Software ermöglicht es Ihnen, proaktiv auf potenzielle Bedrohungen zu reagieren und diese zu beheben, bevor Sie Ihre Anwendungen für Ihre Kunden freigeben. Mit den folgenden Tools können Sie sich einen besseren Einblick in Sicherheitslücken verschaffen.

Scannen auf Sicherheitslücken
Mit Diensten zum Scannen auf Sicherheitslücken wie Artefakteanalyse können Sie bekannte Sicherheitslücken in Ihrer Software identifizieren.
Abhängigkeitsverwaltung

Open Source Insights ist eine zentrale Quelle für Informationen zu Abhängigkeitsdiagrammen, bekannten Sicherheitslücken und Lizenzen im Zusammenhang mit Open-Source-Software. Nutzen Sie die Website, um mehr über die Abhängigkeiten zu erfahren.

Das Open Source Insights-Projekt stellt diese Daten außerdem als Google Cloud Dataset zur Verfügung. Dazu können Sie BigQuery verwenden.

Richtlinie zur Versionsverwaltung

Kurzübersichten sind ein automatisiertes Tool, das riskante Praktiken der Softwarelieferkette in Ihren GitHub-Projekten identifiziert.

Allstar ist eine GitHub-Anwendung, die GitHub-Organisationen oder -Repositories kontinuierlich auf die Einhaltung konfigurierter Richtlinien überwacht. Sie können beispielsweise eine Richtlinie auf Ihre GitHub-Organisation anwenden, die nach Mitbearbeitern außerhalb der Organisation sucht, die Administrator- oder Push-Zugriff haben.

Weitere Informationen zum Verwalten von Abhängigkeiten finden Sie unter Abhängigkeitsmanagement.

Bewusstsein des Teams für Internetsicherheit

Wenn Ihre Teams die Bedrohungen der Softwarelieferkette und Best Practices kennen, können sie sicherere Anwendungen entwerfen und entwickeln.

Im Bericht State of Cybersecurity 2021, Teil 2, einer Umfrage unter IT-Fachleuten, berichteten die befragten Personen, dass Schulungen und Aufklärungsprogramme zur Cybersicherheit einige positive Auswirkungen (46%) oder starke positive Auswirkungen (32%) auf die Bekanntheit der Mitarbeiter hatten.

Die folgenden Ressourcen enthalten weitere Informationen zur Sicherheit der Lieferkette in Google Cloud:

  • Im Google Cloud-Grundlagen-Blueprint werden u. a. die Einrichtung der Organisationsstruktur, der Authentifizierung und Autorisierung, der Ressourcenhierarchie, des Netzwerks, des Loggings und der Erkennungskontrollen beschrieben. Es ist einer der Leitfäden im Best Practices-Center für Sicherheit in Google Cloud.
  • Im Kurs Developing Secure Software werden grundlegende Praktiken zur Softwareentwicklung im Zusammenhang mit der Sicherheit der Softwarelieferkette vermittelt. Der Kurs konzentriert sich auf Best Practices für das Entwerfen, Entwickeln und Testen von Code, behandelt aber auch Themen wie den Umgang mit der Offenlegung von Sicherheitslücken, Zusicherungsfälle und Überlegungen zur Softwareverteilung und -bereitstellung. Die Schulung wurde von der Open Source Security Foundation (OpenSSF) erstellt.

Änderung wird vorbereitet

Nachdem Sie die gewünschten Änderungen identifiziert haben, müssen Sie diese einplanen.

  • Best Practices und Maßnahmen identifizieren, um die Zuverlässigkeit und Sicherheit Ihrer Lieferkette zu verbessern
  • Entwickeln Sie Richtlinien, damit Teams Änderungen implementieren und die Compliance einheitlich messen können. Ihre Unternehmensrichtlinien können beispielsweise Kriterien für die Bereitstellung enthalten, die Sie mit der Binärautorisierung implementieren. Die folgenden Ressourcen können Ihnen dabei helfen:

  • Planen Sie schrittweise Änderungen ein, um Größe, Komplexität und Auswirkungen jeder Änderung zu reduzieren. Es hilft auch den Mitgliedern Ihrer Teams, sich auf jede Änderung einzustellen, Feedback zu geben und gewonnene Erkenntnisse auf zukünftige Änderungen anzuwenden.

Die folgenden Ressourcen können Ihnen bei der Planung und Umsetzung von Änderungen helfen.

  • ROI der DevOps-Transformation ist ein Whitepaper, in dem beschrieben wird, wie der Wert einer DevOps-Transformation prognostiziert und Investitionen in die DevOps-Transformation gerechtfertigt werden können.

  • Das Cloud Application Modernization Program von Google bietet eine ganzheitliche, angeleitete Bewertung. Dabei werden die wichtigsten Ergebnisse (Geschwindigkeit und Stabilität und Burnout) gemessen und die technischen, prozessbezogenen und kulturellen Möglichkeiten ermittelt, mit denen sich diese Ergebnisse für Ihr Unternehmen verbessern lassen. Weitere Informationen zum Programm finden Sie im Blogpost zur CAMP-Ankündigung.

  • Unter Anleitung zum Transformieren finden Sie Anleitungen zur Planung und Implementierung von Änderungen. Die Förderung einer Kultur, die inkrementelle, fortlaufende Veränderungen unterstützt, führt zu erfolgreicheren Veränderungsergebnissen.

  • Im NIST Secure Software Delivery Framework werden Verfahren der Softwaresicherheit beschrieben, die auf bewährten Praktiken von Organisationen wie The Software Alliance, Open Web Application Security Project und SAFECode basieren. Sie enthält eine Reihe von Praktiken zur Vorbereitung Ihrer Organisation sowie Praktiken für die Implementierung von Änderungen und die Reaktion auf Sicherheitslücken.

Nächste Schritte