A postura de segurança é a capacidade da organização de detectar, responder e corrigir ameaças. Isso inclui a prontidão das pessoas, do hardware, do software, das políticas e dos processos de uma organização em todo o ciclo de vida do software.
Há uma série de frameworks e ferramentas que podem ser usadas para avaliar sua postura de segurança e identificar maneiras de reduzir as ameaças.
Práticas de entrega de software
Uma postura de segurança forte requer uma base sólida em práticas recomendadas de entrega de software. Essas práticas vão além da implementação de ferramentas e controles técnicos. Por exemplo, se o processo de aprovação de mudanças não está claro, é mais fácil que mudanças indesejadas entrem na cadeia de suprimentos de software. Se as equipes forem desencorajadas de levantar problemas, elas podem hesitar em relatar questões de segurança.
O DevOps Research and Assessment (DORA) realiza pesquisas independentes sobre práticas e recursos de equipes de tecnologia de alto desempenho. Para avaliar o desempenho da sua equipe e aprender maneiras de melhorar, use os seguintes recursos do DORA:
- Faça a Verificação rápida de DevOps da DORA para receber um feedback rápido sobre como sua organização se compara às outras.
- Leia sobre os capabilities técnicos, de processo, medição e culturais de DevOps identificados pela DORA.
Estruturas para postura de segurança
O NIST Secure Software Development Framework (SSDF) e o Cybersecurity Assessment Framework (CAF) são frameworks desenvolvidos por governos para ajudar as organizações a avaliar a postura de segurança e reduzir as ameaças à cadeia de suprimentos. Esses frameworks consideram o ciclo de vida de desenvolvimento do software, bem como outros aspectos relacionados à segurança do software, como planos de resposta a incidentes. A complexidade e escopo desses frameworks podem exigir um investimento substancial em tempo e recursos.
Os Níveis da cadeia de suprimentos para artefatos de software (SLSA) são um framework que visa tornar a implementação de avaliação e mitigação mais acessível e incremental. Ele explica as ameaças à cadeia de suprimentos e as mitigações associadas, além de fornecer exemplos de ferramentas para implementar mitigações. Ele também agrupa requisitos para fortalecer sua postura de segurança em níveis, para que você possa priorizar e implementar mudanças de forma incremental. O SLSA se concentra principalmente no pipeline de entrega de software. Por isso, use-o com outras ferramentas de avaliação, como SSDF e CAF.
A SLSA é inspirada na autorização binária para o Borg, uma verificação de aplicação obrigatória do Google para todas as cargas de trabalho de produção do Google.
O Software Delivery Shield é uma solução totalmente gerenciada de segurança da cadeia de suprimentos de software no Google Cloud que incorpora as práticas recomendadas no SLSA. É possível visualizar insights sobre sua postura de segurança, incluindo o nível SLSA dos builds.
Gerenciamento de artefatos e dependências
A visibilidade das vulnerabilidades do software permite que você responda e corrija proativamente possíveis ameaças antes de lançar os aplicativos para os clientes. Você pode usar as ferramentas a seguir para ter mais visibilidade sobre vulnerabilidades.
- Verificação de vulnerabilidades
- Serviços de verificação de vulnerabilidades, como o Artifact Analysis, ajudam a identificar vulnerabilidades conhecidas no software.
- Gerenciamento de dependências
O Open Source Insights é uma fonte centralizada para informações sobre gráficos de dependência, vulnerabilidades conhecidas e licenças associadas a softwares de código aberto. Use o site para saber mais sobre suas dependências.
O projeto Open Source Insights também disponibiliza esses dados como um conjunto de dados do Google Cloud. É possível usar o BigQuery para explorar e analisar os dados.
- Política de controle de origem
As visões gerais são uma ferramenta automatizada que identifica práticas arriscadas da cadeia de suprimentos de software nos seus projetos do GitHub.
O Allstar é um app do GitHub que monitora continuamente organizações ou repositórios do GitHub para garantir a conformidade com as políticas configuradas. Por exemplo, é possível aplicar uma política à sua organização do GitHub que verifica se há colaboradores de fora da organização que tenham acesso de administrador ou de push.
Para saber mais sobre como gerenciar suas dependências, consulte Gerenciamento de dependências.
Conscientização da equipe sobre segurança cibernética
Se as equipes entendem as ameaças à cadeia de suprimentos de software e as práticas recomendadas, elas podem projetar e desenvolver aplicativos mais seguros.
Na pesquisa State of Cybersecurity 2021, Parte 2, feita com profissionais de segurança da informação, os entrevistados relataram que os programas de treinamento e conscientização em segurança cibernética tiveram algum impacto positivo (46%) ou forte impacto positivo (32%) na conscientização dos funcionários.
Os recursos a seguir podem ajudar você a saber mais sobre segurança e segurança da cadeia de suprimentos no Google Cloud:
- O Blueprint de base empresarial do Google Cloud descreve a configuração da estrutura organizacional, autenticação e autorização, hierarquia de recursos, rede, geração de registros, controles de detetive e muito mais. Ele é um dos guias da Central de práticas recomendadas de segurança do Google Cloud.
- Como desenvolver um software seguro (em inglês) ensina práticas básicas de desenvolvimento de software no contexto da segurança da cadeia de suprimentos de software. O curso se concentra nas práticas recomendadas para projetar, desenvolver e testar códigos, mas também aborda tópicos como lidar com divulgações de vulnerabilidades, casos de garantia e considerações para distribuição e implantação de software. A Open Source Security Foundation (OpenSSF) criou o treinamento.
Como se preparar para mudanças
Depois de identificar as mudanças que você quer fazer, planeje-as.
- Identificar as práticas recomendadas e mitigações para melhorar a confiabilidade e a segurança da cadeia de suprimentos.
Desenvolva diretrizes e políticas para garantir que as equipes implementem as mudanças e meçam a conformidade de maneira consistente. Por exemplo, as políticas da empresa podem incluir critérios de implantação implementados com a autorização binária. Os recursos a seguir podem ajudar você a:
- Produto mínimo seguro viável, uma lista de verificação de controles de segurança para estabelecer uma postura de segurança de referência para um produto. Use a lista de verificação para estabelecer requisitos mínimos de controle de segurança e avaliar o software por fornecedores terceirizados.
- Publicação Controles de segurança e privacidade para sistemas e organizações de informação do NIST (SP 800-53).
Planeje mudanças incrementais para reduzir o tamanho, a complexidade e o impacto de cada mudança. Isso também ajuda as pessoas em suas equipes a se ajustarem a cada mudança, fornecer feedback e aplicar as lições que você aprendeu às mudanças futuras.
Os recursos a seguir podem ajudar você a planejar e implementar mudanças.
O ROI da transformação de DevOps é um artigo que descreve como prever o valor e justificar o investimento na transformação de DevOps.
O Programa de modernização de aplicativos do Cloud oferece uma avaliação holística e guiada, que mede os principais resultados (velocidade, estabilidade e esgotamento) e identifica os recursos técnicos, processos e culturais que melhoram esses resultados para sua organização. Consulte a postagem do blog sobre o anúncio do CAMP (em inglês) para mais informações sobre o programa.
Como transformar fornece orientação para ajudar você a planejar e implementar mudanças. Promover uma cultura que apoie mudanças incrementais e contínuas leva a resultados de mudança mais bem-sucedidos.
O NIST Secure Software Delivery Framework descreve as práticas de segurança de software com base em práticas estabelecidas por organizações como The Software Alliance, Open Web Application Security Project e SAFECode. Ele inclui um conjunto de práticas para preparar sua organização, bem como práticas para implementar mudanças e responder a vulnerabilidades.
A seguir
- Saiba mais sobre as práticas recomendadas para proteger sua cadeia de suprimentos de software.
- Saiba mais sobre o Software Delivery Shield.