Sicherheitsstatus bewerten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Der Sicherheitsstatus ist eine Fähigkeit des Unternehmens, Bedrohungen zu erkennen, darauf zu reagieren und sie zu beheben. Dazu gehören die Bereitschaft der Mitarbeiter, Hardware, Software, Richtlinien und Prozesse eines Unternehmens über den gesamten Softwarelebenszyklus hinweg.

Es gibt eine Reihe von Frameworks und Tools, mit denen Sie Ihren Sicherheitsstatus bewerten und Wege finden können, um Bedrohungen zu mindern.

Methoden zur Softwarebereitstellung

Ein hoher Sicherheitsstatus erfordert eine solide Grundlage in den Best Practices für die Softwarebereitstellung, die über die Implementierung von Tools und technischen Kontrollen hinausgeht. Ist beispielsweise der Genehmigungsprozess für Änderungen unklar, ist es einfacher, unerwünschte Änderungen an der Softwarelieferkette vorzunehmen. Wenn Teams davon abraten, Probleme zu melden, können sie Bedenken hinsichtlich Sicherheit melden.

DevOps Research and Assessment (DORA) führt unabhängige Forschung zu Verfahren und Fähigkeiten von leistungsstarken Technologieteams durch. Mit den folgenden DORA-Ressourcen können Sie die Leistung Ihres Teams bewerten und Verbesserungsmöglichkeiten ermitteln:

Frameworks für die Sicherheit

Das NIST Secure Software Development Framework (SSDF) und das Cybersecurity Assessment Framework (CAF) sind von Behörden entwickelte Frameworks, mit denen Organisationen ihren Sicherheitsstatus bewerten und Bedrohungen in der Lieferkette minimieren können. Diese Frameworks berücksichtigen den Software-Entwicklungslebenszyklus sowie andere Aspekte mit Bezug auf die Softwaresicherheit, z. B. Reaktionen auf Sicherheitsvorfälle. Die Komplexität und der Umfang dieser Frameworks können erhebliche Investitionen in Zeit und Ressourcen erfordern.

Supply-Chain-Levels für Software-Artefakte (SLSA) sind ein Framework, das darauf abzielt, die Implementierung der Bewertung und Eindämmung besser und inkrementeller zu gestalten. Er erläutert die Bedrohungen der Lieferkette und die damit verbundenen Risiken sowie Beispiele für Tools zur Implementierung von Gegenmaßnahmen. Außerdem werden die Anforderungen gruppiert, mit denen Sie die Sicherheit auf mehreren Ebenen verbessern können, damit Sie Prioritäten setzen und Änderungen schrittweise implementieren können. SLSA konzentriert sich hauptsächlich auf die Pipeline für die Softwarebereitstellung. Daher sollten Sie sie zusammen mit anderen Bewertungstools wie SSDF und CAF verwenden.

SLSA ist von der internen Binärautorisierung für Borg von Google inspiriert, einer obligatorischen Erzwingungsprüfung für alle Produktionsarbeitslasten von Google.

Software Delivery Shield ist eine vollständig verwaltete Sicherheitslösung für die Softwarelieferkette in Google Cloud, die Best Practices in SLSA enthält. Sie können Statistiken zu Ihrer Sicherheitslage aufrufen, einschließlich der SLSA-Ebene Ihrer Builds.

Artefakt- und Abhängigkeitsmanagement

Durch die Einsicht in die Sicherheitslücken in Ihrer Software können Sie proaktiv auf potenzielle Bedrohungen reagieren und diese beheben, bevor Sie Ihre Anwendungen für die Kunden freigeben. Mit den folgenden Tools erhalten Sie einen besseren Einblick in Sicherheitslücken.

Scannen auf Sicherheitslücken
Scannen auf Sicherheitslücken wie Container Analysis helfen Ihnen, bekannte Sicherheitslücken in Ihrer Software zu identifizieren.
Abhängigkeitsverwaltung

Open Source Insights ist eine zentrale Quelle für Informationen zu Abhängigkeitsgraphen, bekannten Sicherheitslücken und Lizenzen im Zusammenhang mit Open-Source-Software. Verwenden Sie die Website, um mehr über Ihre Abhängigkeiten zu erfahren.

Im Rahmen des Open-Source-Insights-Projekts werden diese Daten auch als Google Cloud-Dataset verfügbar gemacht. Sie können die Daten mit BigQuery untersuchen und analysieren.

Versionsverwaltungsrichtlinie

Scorecards ist ein automatisiertes Tool, mit dem riskante Softwarelieferketten in Ihren GitHub-Projekten identifiziert werden können.

Allstar ist eine GitHub-Anwendung, die GitHub-Organisationen oder -Repositories kontinuierlich auf Einhaltung der konfigurierten Richtlinien überwacht. Sie können beispielsweise eine Richtlinie auf Ihre GitHub-Organisation anwenden, die nach Mitbearbeitern außerhalb der Organisation sucht, die Administrator- oder Push-Zugriff haben.

Weitere Informationen zum Verwalten von Abhängigkeiten finden Sie unter Abhängigkeitsverwaltung.

Bekanntheit des Teams im Bereich Internetsicherheit

Wenn Ihre Teams mit den Bedrohungen und Best Practices der Softwarelieferkette vertraut sind, können sie sicherere Anwendungen entwerfen und entwickeln.

Im State of Cybersecurity 2021, Teil 2, einer Umfrage unter Fachleuten für Informationssicherheit, gaben Umfrageteilnehmer an, dass sich Schulungen und Bekanntheitsprogramme zum Thema Internetsicherheit positiv (46%) oder starke positive Auswirkungen (32%) auf die Bekanntheit der Mitarbeiter ausgewirkt haben.

Die folgenden Ressourcen enthalten weitere Informationen zur Sicherheit in Lieferketten in Google Cloud:

Änderung wird vorbereitet

Nachdem Sie die Änderungen identifiziert haben, die Sie vornehmen möchten, müssen Sie diese planen.

  • Ermitteln Sie Best Practices und Gegenmaßnahmen, um die Zuverlässigkeit und Sicherheit Ihrer Lieferkette zu verbessern.
  • Entwickeln von Richtlinien, die dafür sorgen, dass Teams Änderungen implementieren und die Compliance einheitlich messen Ihre Unternehmensrichtlinien können beispielsweise Kriterien für die Bereitstellung enthalten, die Sie mit der Binärautorisierung implementieren. Die folgenden Ressourcen helfen Ihnen dabei:

  • Planen Sie inkrementelle Änderungen, um Größe, Komplexität und Auswirkungen jeder Änderung zu reduzieren. Außerdem können die Teammitglieder sich so besser auf jede Änderung einstellen, Feedback geben und Erfahrungen, die Sie bei zukünftigen Änderungen gelernt haben, übernehmen.

Die folgenden Ressourcen helfen Ihnen dabei, Änderungen zu planen und zu implementieren.

  • ROI of DevOps Transformation ist ein Whitepaper, in dem beschrieben wird, wie Sie den Wert von DevOps-Transformation prognostizieren und rechtfertigen.

  • Das Programm zur Cloud-Anwendungsmodernisierung von Google bietet eine ganzheitliche, angeleitete Bewertung. Es misst wichtige Ergebnisse (Geschwindigkeit und Stabilität sowie Burnout) und ermittelt die technischen, prozessbezogenen und kulturellen Funktionen, die diese Ergebnisse für Ihr Unternehmen verbessern. Weitere Informationen zum Programm finden Sie im Blogpost zu CAMP-Mitteilungen.

  • Unter So gehts erfahren Sie, wie Sie Änderungen planen und umsetzen. Die Förderung einer Kultur, die inkrementelle, kontinuierliche Änderungen unterstützt, führt zu erfolgreicheren Änderungsergebnissen.

  • Im NIST Secure Software Delivery Framework werden Praktiken der Softwaresicherheit beschrieben, die auf etablierten Praktiken von Organisationen wie The Software Alliance, Open Web Application Security Project und SAFECode basieren. Sie enthält eine Reihe von Best Practices, um Ihr Unternehmen vorzubereiten sowie Änderungen zu implementieren und auf Sicherheitslücken zu reagieren.

Nächste Schritte