Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheitsstatus bewerten

Die Sicherheitslage ist die Fähigkeit eines Unternehmens, Bedrohungen zu erkennen, darauf zu reagieren und sie zu beheben. Dazu gehören die Bereitschaft der Mitarbeiter, die Hardware, Software, Richtlinien und Prozesse eines Unternehmens während des gesamten Softwarelebenszyklus.

Es gibt eine Reihe von Frameworks und Tools, mit denen Sie Ihren Sicherheitsstatus bewerten und Möglichkeiten zur Minderung von Bedrohungen finden können.

Best Practices für die Softwarebereitstellung

Eine starke Sicherheitsposition erfordert eine solide Grundlage in den Best Practices für die Softwarebereitstellung. Diese Best Practices gehen über die Implementierung von Tools und technischen Kontrollen hinaus. Wenn das Genehmigungsverfahren für Änderungen beispielsweise unklar ist, können unerwünschte Änderungen leichter in Ihre Software-Lieferkette gelangen. Wenn Teams nicht ermutigt werden, Probleme anzusprechen, zögern sie möglicherweise, Sicherheitsbedenken zu melden.

DevOps Research and Assessment (DORA) führt unabhängige Studien zu Praktiken und Fähigkeiten von leistungsstarken Technologieteams durch. Mit den folgenden DORA-Ressourcen können Sie die Leistung Ihres Teams bewerten und Möglichkeiten zur Verbesserung finden:

Mit dem DORA-DevOps-Schnelltest erhalten Sie schnell Feedback dazu, wie sich Ihre Organisation im Vergleich zu anderen schlägt.
Lesen Sie mehr über die von DORA identifizierten capabilities in den Bereichen Technologie, Prozesse, Messung und Kultur.

Frameworks für den Sicherheitsstatus

Das Secure Software Development Framework (SSDF) des NIST und das Cybersecurity Assessment Framework (CAF) sind von Behörden entwickelte Frameworks, die Organisationen dabei helfen, ihren Sicherheitsstatus zu bewerten und Lieferkettenbedrohungen zu minimieren. Diese Frameworks berücksichtigen den Softwareentwicklungszyklus sowie andere Aspekte im Zusammenhang mit der Softwaresicherheit, z. B. Pläne zur Reaktion auf Vorfälle. Die Komplexität und der Umfang dieser Frameworks können einen erheblichen Zeit- und Ressourcenaufwand erfordern.

Supply Chain Levels for Software Artifacts (SLSA) ist ein Framework, das die Bewertung und Implementierung von Risikominderungsmaßnahmen zugänglicher und inkrementell gestalten soll. Darin werden Bedrohungen in der Lieferkette und die zugehörigen Maßnahmen zur Risikominimierung erläutert. Außerdem werden Beispiele für Tools zur Implementierung von Maßnahmen zur Risikominimierung genannt. Außerdem werden die Anforderungen zur Verbesserung Ihrer Sicherheitsposition in Stufen gruppiert, damit Sie Änderungen priorisieren und schrittweise implementieren können. Der SLSA konzentriert sich hauptsächlich auf die Softwarebereitstellungspipeline. Sie sollten ihn daher zusammen mit anderen Bewertungstools wie dem SSDF und dem CAF verwenden.

SLSA basiert auf der internen Binärautorisierung für Borg von Google, einer obligatorischen Erzwingungsprüfung für alle Produktionsarbeitslasten von Google.

Google Cloud bietet eine modulare Reihe von Funktionen und Tools, die Best Practices für SLSA umfassen. Sie können Statistiken zu Ihrer Sicherheitskonfiguration aufrufen, einschließlich der SLSA-Ebene Ihrer Builds.

Artefakt- und Abhängigkeitsverwaltung

Wenn Sie die Sicherheitslücken in Ihrer Software kennen, können Sie proaktiv auf potenzielle Bedrohungen reagieren und sie beheben, bevor Sie Ihre Anwendungen für Ihre Kunden veröffentlichen. Mit den folgenden Tools können Sie sich ein besseres Bild von Sicherheitslücken machen.

Scannen auf Sicherheitslücken

Dienste zum Scannen auf Sicherheitslücken wie die Artefaktanalyse helfen Ihnen, bekannte Sicherheitslücken in Ihrer Software zu identifizieren.

Abhängigkeitsverwaltung

Open Source Insights ist eine zentrale Quelle für Informationen zu Abhängigkeitsdiagrammen, bekannten Sicherheitslücken und Lizenzen im Zusammenhang mit Open-Source-Software. Auf der Website finden Sie Informationen zu Ihren Abhängigkeiten.

Im Open Source Insights-Projekt sind diese Daten auch als Google Cloud-Dataset verfügbar. Sie können die Daten mit BigQuery untersuchen und analysieren.

Richtlinie zur Versionsverwaltung

Bewertungskarten sind ein automatisiertes Tool, mit dem riskante Praktiken in der Software-Lieferkette in Ihren GitHub-Projekten identifiziert werden.

Allstar ist eine GitHub-Anwendung, die GitHub-Organisationen oder ‑Repositories kontinuierlich auf Einhaltung der konfigurierten Richtlinien überwacht. Sie können beispielsweise eine Richtlinie auf Ihre GitHub-Organisation anwenden, die nach Mitbearbeitern außerhalb der Organisation sucht, die Administratorzugriff oder Push-Zugriff haben.

Weitere Informationen zum Verwalten von Abhängigkeiten finden Sie unter Abhängigkeiten verwalten.

Teambewusstsein für Internetsicherheit

Wenn Ihre Teams Bedrohungen und Best Practices für die Softwarelieferkette kennen, können sie sicherere Anwendungen entwerfen und entwickeln.

In der Umfrage zum Stand der Cybersicherheit 2021, Teil 2, einer Umfrage unter Fachleuten für Informationssicherheit, gaben die Befragten an, dass Cybersicherheitsschulungen und Sensibilisierungsprogramme einen gewissen positiven Einfluss (46%) oder einen starken positiven Einfluss (32%) auf das Bewusstsein der Mitarbeiter hatten.

In den folgenden Ressourcen finden Sie weitere Informationen zur Sicherheit der Lieferkette und zur Sicherheit in Google Cloud:

Im Google Cloud-Grundlagen-Blueprint für Unternehmen wird unter anderem beschrieben, wie Sie die Organisationsstruktur, Authentifizierung und Autorisierung, Ressourcenhierarchie, Netzwerke, Protokollierung und Aufdeckungskontrollen einrichten. Dieser Leitfaden ist einer der Leitfäden im Best Practices-Center für mehr Sicherheit in Google Cloud.
Im Kurs Sichere Software entwickeln lernen Sie grundlegende Praktiken der Softwareentwicklung im Kontext der Sicherheit der Softwarelieferkette kennen. Der Kurs konzentriert sich auf Best Practices für das Entwerfen, Entwickeln und Testen von Code, deckt aber auch Themen wie den Umgang mit Offenlegungen von Sicherheitslücken, Assurance-Fälle und Aspekte der Softwareverteilung und -bereitstellung ab. Die Open Source Security Foundation (OpenSSF) hat das Training entwickelt.

Auf die Änderung vorbereiten

Nachdem Sie die gewünschten Änderungen identifiziert haben, müssen Sie diese planen.

Best Practices und Maßnahmen zur Verbesserung der Zuverlässigkeit und Sicherheit Ihrer Lieferkette identifizieren
Richtlinien und Richtlinien entwickeln, damit Teams Änderungen implementieren und die Compliance einheitlich messen können. Ihre Unternehmensrichtlinien können beispielsweise Kriterien für die Bereitstellung enthalten, die Sie mit der Binärautorisierung implementieren. Die folgenden Ressourcen können Ihnen helfen:
- Minimum Viable Secure Product: Eine Sicherheitscheckliste mit Steuerelementen, um einen grundlegenden Sicherheitsstatus für ein Produkt festzulegen. Mit der Checkliste können Sie Ihre Mindestanforderungen an die Sicherheitskontrolle festlegen und Software von Drittanbietern bewerten.
- NIST-Veröffentlichung Security and Privacy Controls for Information Systems and Organizations (SP 800-53)
Planen Sie inkrementelle Änderungen, um die Größe, Komplexität und Auswirkungen jeder Änderung zu reduzieren. Außerdem können sich die Mitglieder Ihrer Teams so an jede Änderung anpassen, Feedback geben und die Erkenntnisse aus den Änderungen auf zukünftige Änderungen anwenden.

Die folgenden Ressourcen können Ihnen bei der Planung und Implementierung von Änderungen helfen.

ROI of DevOps Transformation ist ein Whitepaper, in dem beschrieben wird, wie Sie den Wert von Investitionen in die DevOps-Transformation vorhersagen und rechtfertigen können.
Das Google Cloud Application Modernization Program bietet eine ganzheitliche, angeleitete Bewertung, bei der wichtige Ergebnisse (Geschwindigkeit, Stabilität und Burn-out) gemessen und die technischen, prozessualen und kulturellen Fähigkeiten identifiziert werden, die diese Ergebnisse für Ihr Unternehmen verbessern. Weitere Informationen zum Programm findest du im Blogpost zur Ankündigung von CAMP.
So gelingt die Transformation enthält Informationen dazu, wie Sie Änderungen planen und umsetzen. Eine Kultur zu fördern, die inkrementelle, fortlaufende Veränderungen unterstützt, führt zu erfolgreicheren Veränderungsergebnissen.
Das NIST Secure Software Delivery Framework beschreibt Softwaresicherheitsverfahren, die auf bewährten Verfahren von Organisationen wie der Software Alliance, dem Open Web Application Security Project und SAFECode basieren. Er enthält eine Reihe von Praktiken zur Vorbereitung Ihrer Organisation sowie Praktiken zur Implementierung von Änderungen und zur Reaktion auf Sicherheitslücken.

Nächste Schritte

Best Practices zum Schutz Ihrer Softwarelieferkette
Informationen zur Sicherheit der Softwarelieferkette und zu den Google Cloud-Produkten und ‑Funktionen, mit denen Sie Ihre Softwarelieferkette schützen können.