La postura di sicurezza è la capacità di un'organizzazione di rilevare, rispondere e risolvere le minacce. Include l'idoneità del personale, dell'hardware, del software, dei criteri e dei processi di un'organizzazione nell'intero ciclo di vita del software.
Esistono diversi framework e strumenti che puoi utilizzare per valutare la tua security posture e identificare i modi per mitigare le minacce.
Pratiche di distribuzione del software
Una security posture solida richiede una base solida delle best practice per la distribuzione del software e queste pratiche vanno oltre l'implementazione di strumenti e controlli tecnici. Ad esempio, se la procedura di approvazione delle modifiche non è chiara, è più facile che modifiche indesiderate entrino nella catena di approvvigionamento del software. Se i team vengono scoraggiati dal segnalare i problemi, potrebbero esitare a segnalare i problemi di sicurezza.
DevOps Research and Assessment (DORA) esegue ricerche indipendenti sulle pratiche e sulle capacità dei team di tecnologia ad alte prestazioni. Per valutare il rendimento del tuo team e scoprire come migliorare, utilizza le seguenti risorse DORA:
- Esegui il controllo rapido DevOps di DORA per ricevere un breve feedback sul confronto tra la tua organizzazione e le altre.
- Scopri le funzionalità DevOps tecniche, di processo, di misurazione e culturali identificate da DORA.
Framework per la security posture
NIST Secure Software Development Framework (SSDF) e Cybersecurity Assessment Framework (CAF) sono framework sviluppati dai governi per aiutare le organizzazioni a valutare la propria strategia di sicurezza e a mitigare le minacce alla catena di fornitura. Questi framework tengono conto del ciclo di vita di sviluppo del software e di altri aspetti relativi alla sicurezza del software, come i piani di risposta agli incidenti. La complessità e l'ambito di questi framework possono richiedere un investimento sostanziale in termini di tempo e risorse.
Supply chain Levels for Software Artifacts (SLSA) è un framework che mira a rendere più accessibile e incrementale l'implementazione della valutazione e della mitigazione. Spiega le minacce alla catena di approvvigionamento e le relative misure di mitigazione e fornisce esempi di strumenti per implementare le mitigazioni. Inoltre, raggruppa i requisiti per rafforzare la tua postura di sicurezza in livelli, in modo da poter dare la priorità alle modifiche e implementarle in modo incrementale. L'SLSA si concentra principalmente sulla pipeline di distribuzione del software, pertanto devi utilizzarlo insieme ad altri strumenti di valutazione come SSDF e CAF.
SLSA si ispira all'Autorizzazione binaria per Borg interna di Google, un controllo di applicazione forzata obbligatorio per tutti i carichi di lavoro di produzione di Google.
Google Cloud fornisce un insieme modulare di funzionalità e strumenti che incorporano le best practice in SLSA. Puoi visualizzare approfondimenti sulla tua posizione di sicurezza, incluso il livello SLSA delle tue build.
Gestione di artefatti e dipendenze
La visibilità delle vulnerabilità del software ti consente di rispondere in modo proattivo e di correggere le potenziali minacce prima di rilasciare le applicazioni ai clienti. Puoi utilizzare i seguenti strumenti per ottenere una maggiore visibilità sulle vulnerabilità.
- Analisi delle vulnerabilità
- I servizi di analisi delle vulnerabilità come Artifact Analysis ti aiutano a identificare le vulnerabilità note nel tuo software.
- Gestione delle dipendenze
Open Source Insight è una fonte centralizzata di informazioni su grafici di dipendenza, vulnerabilità note e licenze associate al software open source. Utilizza il sito per conoscere le tue dipendenze.
Il progetto Open Source Insights rende inoltre disponibili questi dati come set di dati Google Cloud. Puoi utilizzare BigQuery per esplorare e analizzare i dati.
- Criterio di controllo dell'origine
Scorecard è uno strumento automatizzato che identifica le pratiche rischiose della catena di approvvigionamento del software nei tuoi progetti GitHub.
Allstar è un'app GitHub che monitora continuamente le organizzazioni o i repository GitHub per verificare la conformità ai criteri configurati. Ad esempio, puoi applicare un criterio alla tua organizzazione GitHub che controlla la presenza di collaboratori esterni all'organizzazione che dispongono di accesso amministrativo o push.
Per scoprire di più sulla gestione delle dipendenze, consulta Gestione delle dipendenze
Consapevolezza del team in materia di cybersicurezza
Se i tuoi team comprendono le minacce e le best practice della catena di fornitura del software, possono progettare e sviluppare applicazioni più sicure.
Nel report sullo stato della cybersicurezza 2021, parte 2, un sondaggio tra professionisti della sicurezza delle informazioni ha rilevato che i programmi di formazione e sensibilizzazione sulla cybersicurezza hanno avuto un impatto positivo (46%) o molto positivo (32%) sulla consapevolezza dei dipendenti.
Le seguenti risorse possono aiutarti a scoprire di più sulla sicurezza della catena di approvvigionamento e sulla sicurezza su Google Cloud:
- Il progetto di base per le aziende con Google Cloud descrive la configurazione della struttura organizzativa, dell'autenticazione e dell'autorizzazione, della gerarchia delle risorse, della rete, del logging, dei controlli di rilevamento e altro ancora. È una delle guide del Centro best practice per la sicurezza di Google Cloud.
- Sviluppo di software sicuro insegna le pratiche di base per lo sviluppo di software nel contesto della sicurezza della catena di fornitura del software. Il corso si concentra sulle best practice per la progettazione, lo sviluppo e il test del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni per la distribuzione e il deployment del software. La formazione è stata creata dalla Open Source Security Foundation (OpenSSF).
Prepararsi al cambiamento
Dopo aver identificato le modifiche che vuoi apportare, devi pianificarle.
- Identifica best practice e mitigazioni per migliorare l'affidabilità e la sicurezza della tua catena di approvvigionamento.
Sviluppare linee guida e criteri per garantire che i team implementino le modifiche e misurino la conformità in modo coerente. Ad esempio, i criteri della tua azienda potrebbero includere i criteri per il deployment che implementi con Autorizzazione binaria. Le seguenti risorse possono esserti utili:
- Minimum Viable Secure Product, un elenco di controllo dei controlli di sicurezza per stabilire una security posture di base per un prodotto. Puoi utilizzare l'elenco di controllo per stabilire i requisiti minimi di controllo della sicurezza e valutare il software di fornitori di terze parti.
- Pubblicazione NIST Security and Privacy Controls for Information Systems and Organizations (SP 800-53).
Pianifica modifiche incrementali per ridurre le dimensioni, la complessità e l'impatto di ogni modifica. Inoltre, aiuta le persone dei tuoi team ad adeguarsi a ogni modifica, a fornire feedback e ad applicare le lezioni apprese alle modifiche future.
Le seguenti risorse possono aiutarti a pianificare e implementare il cambiamento.
ROI of DevOps Transformation è un white paper che descrive come prevedere il valore e giustificare l'investimento nella trasformazione DevOps.
Il programma Application Modernisation di Google Cloud fornisce una valutazione guidata olistica, misurando i risultati chiave (velocità, stabilità e burnout) e identificando le funzionalità tecniche, di processo e culturali che migliorano questi risultati per la tua organizzazione. Per ulteriori informazioni sul programma, consulta il post del blog relativo all'annuncio del programma CAMP.
Come eseguire la trasformazione fornisce indicazioni per aiutarti a pianificare e implementare le modifiche. Promuovere una cultura che supporti il cambiamento incrementale e continuo porta a risultati di cambiamento più efficaci.
Il NIST Secure Software Delivery Framework descrive le pratiche di sicurezza del software basate su pratiche consolidate di organizzazioni come The Software Alliance, Open Web Application Security Project e SAFECode. Include una serie di pratiche per preparare l'organizzazione, nonché pratiche per implementare le modifiche e rispondere alle vulnerabilità.
Passaggi successivi
- Scopri le best practice per proteggere la tua catena di fornitura del software.
- Scopri di più sulla sicurezza della catena di fornitura del software e sui prodotti e sulle funzionalità di Google Cloud che ti aiutano a proteggere la tua catena di fornitura del software.