La postura di sicurezza è la capacità di un'organizzazione di rilevare, rispondere e correggere le minacce. Garantisce l'idoneità di persone, hardware, software, criteri e processi di un'organizzazione per tutto il ciclo di vita del software.
Esistono numerosi framework e strumenti che puoi utilizzare per valutare la tua strategia di sicurezza e identificare modi per mitigare le minacce.
Pratiche di distribuzione del software
Una solida strategia di sicurezza richiede una solida base nelle best practice di distribuzione del software, e queste pratiche vanno oltre gli strumenti di implementazione e i controlli tecnici. Ad esempio, se il processo di approvazione delle modifiche non è chiaro, è più facile che le modifiche indesiderate entrino nella catena di fornitura del software. Se i team sono scoraggiati dalla segnalazione di problemi, potrebbero esitare a segnalare problemi di sicurezza.
DevOps Research and Assessment (DORA) esegue ricerche indipendenti su pratiche e funzionalità dei team tecnologici ad alte prestazioni. Per valutare le prestazioni del tuo team e scoprire come migliorarlo, utilizza le seguenti risorse DORA:
- Completa il controllo rapido DevOps di DORA per ricevere un rapido feedback sulle differenze tra la tua organizzazione e le altre.
- Leggi le capabilities DevOps tecniche, di processo, di misurazione e culturali identificate da DORA.
Framework per la postura di sicurezza
Il NIST Secure Software Development Framework (SSDF) e il Cybersecurity Assessment Framework (CAF) sono framework sviluppati dai governi per aiutare le organizzazioni a valutare la propria condizione di sicurezza e mitigare le minacce nella catena di fornitura. Questi framework prendono in considerazione il ciclo di vita dello sviluppo del software e altri aspetti relativi alla sicurezza del software, come i piani di risposta agli incidenti. La complessità e l'ambito di questi framework possono richiedere un notevole investimento in termini di tempo e risorse.
Supply chain Levels for Software Artifacts (SLSA) è un framework volto a rendere più accessibile e incrementale l'implementazione della valutazione e della mitigazione. Spiega le minacce della catena di approvvigionamento e le mitigazioni associate, oltre a fornire esempi di strumenti per implementarle. Raggruppa inoltre i requisiti per rafforzare la strategia di sicurezza in vari livelli, in modo da poter definire le priorità e implementare le modifiche in modo incrementale. SLSA è incentrato principalmente sulla pipeline di distribuzione del software, pertanto è consigliabile utilizzarlo insieme ad altri strumenti di valutazione come SSDF e CAF.
SLSA si basa su Autorizzazione binaria per Borg interna di Google, un controllo di applicazione obbligatorio per tutti i carichi di lavoro di produzione di Google.
Software Delivery Shield è una soluzione per la sicurezza della catena di fornitura del software completamente gestita su Google Cloud che incorpora le best practice in SLSA. Puoi visualizzare insight sulla tua strategia di sicurezza, incluso il livello SLSA delle build.
Gestione degli artefatti e delle dipendenze
La visibilità delle vulnerabilità nel software ti consente di rispondere in modo proattivo e risolvere potenziali minacce prima di rilasciare le applicazioni ai clienti. Puoi utilizzare i seguenti strumenti per ottenere maggiore visibilità sulle vulnerabilità.
- Analisi delle vulnerabilità
- I servizi di analisi delle vulnerabilità come Artifact Analysis ti consentono di identificare le vulnerabilità note nel tuo software.
- Gestione delle dipendenze
Open Source Insight è una fonte centralizzata per informazioni su grafici delle dipendenze, vulnerabilità note e licenze associate al software open source. Utilizza il sito per informazioni sulle dipendenze.
Il progetto Open Source Insights rende questi dati disponibili anche come set di dati di Google Cloud. Puoi utilizzare BigQuery per esplorare e analizzare i dati.
- Criterio di controllo del codice sorgente
I prospetti sono uno strumento automatizzato che identifica le pratiche rischiose della catena di fornitura del software nei tuoi progetti GitHub.
Allstar è un'app GitHub che monitora continuamente le organizzazioni o i repository GitHub per verificare la conformità ai criteri configurati. Ad esempio, puoi applicare alla tua organizzazione GitHub un criterio per verificare la presenza di collaboratori esterni all'organizzazione con accesso come amministratore o in modalità push.
Per saperne di più sulla gestione delle dipendenze, consulta Gestione delle dipendenze
Consapevolezza del team in merito alla cybersicurezza
Se i tuoi team comprendono le minacce nella catena di fornitura del software e le best practice, possono progettare e sviluppare applicazioni più sicure.
In un sondaggio condotto tra i professionisti della sicurezza informatica, nello stato della cybersicurezza 2021, parte 2, i partecipanti al sondaggio hanno riferito che i programmi di formazione e sensibilizzazione sulla sicurezza informatica hanno avuto un impatto positivo (46%) o un forte impatto positivo (32%) sulla consapevolezza dei dipendenti.
Le seguenti risorse possono aiutarti a saperne di più sulla sicurezza e sulla sicurezza della catena di fornitura su Google Cloud:
- Il progetto di base aziendale di Google Cloud descrive la configurazione di struttura organizzativa, autenticazione e autorizzazione, gerarchia delle risorse, networking, logging, controlli di rilevamento e altro ancora. È una delle guide nel Centro best practice per la sicurezza di Google Cloud.
- Developing Secure Software illustra le pratiche di sviluppo software di base nel contesto della sicurezza della catena di fornitura del software. Il corso è incentrato sulle best practice per la progettazione, lo sviluppo e il test del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni per la distribuzione e il deployment del software. La Open Source Security Foundation (OpenSSF) ha creato l'addestramento.
Preparazione per il cambiamento
Dopo aver identificato le modifiche da apportare, devi pianificare le modifiche.
- Identifica best practice e mitigazioni per migliorare l'affidabilità e la sicurezza della tua catena di fornitura.
Sviluppare linee guida e norme per garantire che i team implementino i cambiamenti e misurino la conformità in modo coerente. Ad esempio, i criteri aziendali potrebbero includere criteri per il deployment implementati con Autorizzazione binaria. Le seguenti risorse possono aiutarti:
- minimum Viable Secure Product, un elenco di controllo di sicurezza di controlli per stabilire una postura di sicurezza di base per un prodotto. Puoi utilizzare l'elenco di controllo per stabilire i requisiti minimi di controllo della sicurezza e valutare il software di fornitori di terze parti.
- Pubblicazione NIST Security and Privacy Controls for Information Systems and organizzazioni (SP 800-53).
Pianifica modifiche incrementali al fine di ridurre dimensioni, complessità e impatto di ogni modifica. Inoltre, aiuta i membri dei tuoi team ad adattarsi a ogni modifica, fornire feedback e applicare le lezioni apprese ai cambiamenti futuri.
Le seguenti risorse possono aiutarti a pianificare e implementare le modifiche.
ROI of DevOps Transformation è un white paper che descrive come prevedere il valore della trasformazione DevOps e giustificare gli investimenti.
Il Cloud Application Modernization Program di Google offre una valutazione olistica guidata che misura i risultati chiave (velocità, stabilità e burnout) e identifica le capacità tecniche, di processo e culturali che migliorano questi risultati per la tua organizzazione. Per ulteriori informazioni sul programma, consulta il post del blog sull'annuncio del CAMP.
How to Transform fornisce indicazioni utili per pianificare e implementare le modifiche. Promuovere una cultura che supporti cambiamenti incrementali e continui si traduce in risultati migliori.
Il NIST Secure Software Delivery Framework descrive le pratiche di sicurezza del software basate su pratiche consolidate di organizzazioni come The Software Alliance, Open Web Application Security Project e SAFECode. Include una serie di pratiche per preparare la tua organizzazione, nonché pratiche per implementare modifiche e rispondere alle vulnerabilità.
Passaggi successivi
- Scopri le best practice per proteggere la catena di fornitura del software.
- Scopri di più su Software Delivery Shield.