A postura de segurança é a capacidade de uma organização detetar, responder e corrigir ameaças. Inclui a prontidão das pessoas, do hardware, do software, das políticas e dos processos de uma organização em todo o ciclo de vida do software.
Existem várias estruturas e ferramentas que pode usar para avaliar a sua postura de segurança e identificar formas de mitigar ameaças.
Práticas de fornecimento de software
Uma postura de segurança forte requer uma base sólida nas práticas recomendadas de entrega de software, e estas práticas vão além da implementação de ferramentas e controlos técnicos. Por exemplo, se o processo de aprovação de alterações não for claro, é mais fácil que alterações indesejadas entrem na sua cadeia de fornecimento de software. Se as equipas forem desencorajadas a comunicar problemas, podem hesitar em comunicar preocupações de segurança.
A DevOps Research and Assessment (DORA) realiza investigações independentes sobre as práticas e as capacidades das equipas de tecnologia de alto desempenho. Para avaliar o desempenho da sua equipa e saber como melhorar, use os seguintes recursos da DORA:
- Faça a Verificação rápida de DevOps da DORA para receber feedback rápido sobre o desempenho da sua organização em comparação com outras.
- Leia acerca das capacidades técnicas, de processos, de medição e culturais de DevOps identificadas pela DORA.
Frameworks para a postura de segurança
O Framework de desenvolvimento de software seguro do NIST (SSDF) e o Framework de avaliação de cibersegurança (CAF) são frameworks desenvolvidos por governos para ajudar as organizações a avaliar a respetiva postura de segurança e mitigar as ameaças à cadeia de abastecimento. Estas estruturas têm em consideração o ciclo de vida do desenvolvimento de software, bem como outros aspetos relacionados com a segurança do software, como planos de resposta a incidentes. A complexidade e o âmbito destas estruturas podem exigir um investimento substancial em tempo e recursos.
Os níveis da cadeia de fornecimento para artefactos de software (SLSA) são uma estrutura que visa tornar a avaliação e a implementação da mitigação mais acessíveis e incrementais. Explica as ameaças à cadeia de abastecimento e as mitigações associadas, e fornece exemplos de ferramentas para implementar mitigações. Também agrupa os requisitos para reforçar a sua postura de segurança em níveis, para que possa dar prioridade e implementar alterações de forma incremental. A SLSA está principalmente focada no pipeline de fornecimento de software, pelo que deve usá-la juntamente com outras ferramentas de avaliação, como a SSDF e a CAF.
A SLSA inspira-se na autorização binária para o Borg interna da Google, que é uma verificação de aplicação obrigatória para todas as cargas de trabalho de produção da Google.
Google Cloud oferece um conjunto modular de capacidades e ferramentas que incorporam práticas recomendadas na SLSA. Pode ver estatísticas sobre a sua postura de segurança, incluindo o nível SLSA das suas compilações.
Gestão de artefactos e dependências
A visibilidade das vulnerabilidades no seu software permite-lhe responder proativamente e corrigir potenciais ameaças antes de lançar as suas aplicações para os seus clientes. Pode usar as seguintes ferramentas para ter mais visibilidade das vulnerabilidades.
- Análise de vulnerabilidades
- Os serviços de análise de vulnerabilidades, como a análise de artefactos, ajudam a identificar vulnerabilidades conhecidas no seu software.
- Gestão de dependências
O Open Source Insights é uma fonte centralizada de informações sobre gráficos de dependências, vulnerabilidades conhecidas e licenças associadas a software de código aberto. Use o site para saber mais sobre as suas dependências.
O projeto Open Source Insights também disponibiliza estes dados como um Google Cloud conjunto de dados. Pode usar o BigQuery para explorar e analisar os dados.
- Política de controlo de origens
As tabelas de dados são uma ferramenta automatizada que identifica práticas de cadeia de abastecimento de software arriscadas nos seus projetos do GitHub.
O Allstar é uma app GitHub que monitoriza continuamente as organizações ou os repositórios do GitHub para verificar a conformidade com as políticas configuradas. Por exemplo, pode aplicar uma política à sua organização do GitHub que verifique se existem colaboradores fora da organização com acesso de administrador ou de envio.
Para saber mais sobre a gestão das suas dependências, consulte o artigo Gestão de dependências
Consciencialização da equipa sobre cibersegurança
Se as suas equipas compreenderem as ameaças à cadeia de abastecimento de software e as práticas recomendadas, podem criar e desenvolver aplicações mais seguras.
No relatório State of Cybersecurity 2021, Part 2, um inquérito a profissionais de segurança da informação, os participantes no inquérito comunicaram que os programas de formação e sensibilização em cibersegurança tiveram algum impacto positivo (46%) ou um forte impacto positivo (32%) na sensibilização dos funcionários.
Os seguintes recursos podem ajudar a saber mais sobre a segurança da cadeia de fornecimento e a segurança no Google Cloud:
- O Google Cloud projeto de base empresarial descreve a configuração da estrutura da organização, da autenticação e da autorização, da hierarquia de recursos, da rede, do registo, dos controlos de deteção e muito mais. É um dos guias no Google Cloud centro de práticas recomendadas de segurança.
- O curso Desenvolver software seguro ensina práticas de desenvolvimento de software fundamentais no contexto da segurança da cadeia de abastecimento de software. O curso foca-se nas práticas recomendadas para conceber, desenvolver e testar código, mas também aborda tópicos como o processamento de divulgações de vulnerabilidades, casos de garantia e considerações para a distribuição e a implementação de software. A formação foi criada pela Open Source Security Foundation (OpenSSF).
Preparação para a mudança
Depois de identificar as alterações que quer fazer, tem de planear as alterações.
- Identifique práticas recomendadas e mitigações para melhorar a fiabilidade e a segurança da sua cadeia de abastecimento.
Desenvolver diretrizes e políticas para garantir que as equipas implementam alterações e medem a conformidade de forma consistente. Por exemplo, as políticas da sua empresa podem incluir critérios de implementação que implementa com a autorização binária. Os seguintes recursos podem ajudar:
- Produto seguro viável mínimo, uma lista de verificação de segurança de controlos para estabelecer uma postura de segurança de base para um produto. Pode usar a lista de verificação para estabelecer os seus requisitos mínimos de controlo de segurança e para avaliar o software de fornecedores externos.
- Publicação (SP 800-53) do NIST Security and Privacy Controls for Information Systems and Organizations.
Planeie alterações incrementais para reduzir a dimensão, a complexidade e o impacto de cada alteração. Também ajuda as pessoas nas suas equipas a adaptarem-se a cada alteração, darem feedback e aplicarem as lições aprendidas às alterações futuras.
Os seguintes recursos podem ajudar a planear e implementar alterações.
ROI of DevOps Transformation é um relatório técnico que descreve como prever o valor e justificar o investimento na transformação de DevOps.
O Programa de Modernização de Aplicações na Nuvem da Google oferece uma avaliação holística e orientada, medindo os principais resultados (velocidade, estabilidade e esgotamento) e identificando as capacidades técnicas, de processo e culturais que melhoram esses resultados para a sua organização. Consulte a publicação no blogue de anúncio do CAMP para mais informações sobre o programa.
Como fazer a transformação oferece orientações para ajudar a planear e implementar alterações. Promover uma cultura que apoie a mudança incremental e contínua leva a resultados de mudança mais bem-sucedidos.
A estrutura de entrega de software seguro do NIST descreve as práticas de segurança de software com base em práticas estabelecidas de organizações como The Software Alliance, Open Web Application Security Project e SAFECode. Inclui um conjunto de práticas para preparar a sua organização, bem como práticas para implementar alterações e responder a vulnerabilidades.
O que se segue?
- Saiba mais acerca das práticas recomendadas para proteger a sua cadeia de fornecimento de software.
- Saiba mais sobre a segurança da cadeia de abastecimento de software e os Google Cloudprodutos e funcionalidades que ajudam a proteger a sua cadeia de abastecimento de software.