La stratégie de sécurité est la capacité d'une organisation à détecter, à répondre et à corriger les menaces. Elle comprend la préparation des ressources humaines, matérielles, logicielles, des règles et des processus d'une organisation tout au long du cycle de vie du logiciel.
Il existe un certain nombre de frameworks et d'outils que vous pouvez utiliser pour évaluer votre stratégie de sécurité et identifier les moyens de limiter les menaces.
Pratiques de livraison de logiciels
Un niveau de sécurité élevé nécessite de s'appuyer sur des bonnes pratiques de livraison de logiciels solides. Ces pratiques vont au-delà de l'implémentation d'outils et de contrôles techniques. Par exemple, si le processus d'approbation des modifications n'est pas clair, il est plus facile que des modifications indésirables pénètrent votre chaîne d'approvisionnement logicielle. Si les équipes sont découragées de signaler des problèmes, elles peuvent hésiter à signaler des problèmes de sécurité.
DevOps Research and Assessment (DORA) mène des recherches indépendantes sur les pratiques et les capacités des équipes technologiques hautes performances. Pour évaluer les performances de votre équipe et découvrir comment les améliorer, utilisez les ressources DORA suivantes:
- Passez l'évaluation DevOps rapide de DORA pour obtenir des commentaires rapides sur la comparaison de votre organisation avec d'autres.
- Découvrez les capabilities DevOps en termes de technologies, de processus, de mesures et de culture identifiées par DORA.
Frameworks pour la stratégie de sécurité
Le framework de développement de logiciels sécurisés du NIST (SSDF) et le framework d'évaluation de la cybersécurité (CAF) sont des frameworks développés par les gouvernements pour aider les organisations à évaluer leur niveau de sécurité et à atténuer les menaces de la chaîne d'approvisionnement. Ces frameworks prennent en compte le cycle de vie du développement logiciel, ainsi que d'autres aspects liés à la sécurité logicielle, tels que les plans de réponse aux incidents. La complexité et la portée de ces frameworks peuvent nécessiter un investissement important en temps et en ressources.
Supply chain Levels for Software Artifacts (SLSA) est un framework qui vise à rendre l'évaluation et l'implémentation de la mitigation plus accessibles et incrémentielles. Il explique les menaces liées à la chaîne d'approvisionnement et les mesures d'atténuation associées, et fournit des exemples d'outils permettant de les mettre en œuvre. Il regroupe également les exigences visant à renforcer votre posture de sécurité en niveaux, afin que vous puissiez hiérarchiser et implémenter les modifications de manière incrémentielle. La SLSA est principalement axée sur le pipeline de livraison de logiciels. Vous devez donc l'utiliser avec d'autres outils d'évaluation tels que le SSDF et le CAF.
La certification SLSA s'inspire de l'autorisation binaire pour Borg interne de Google, une vérification d'application obligatoire pour toutes les charges de travail de production de Google.
Google Cloud fournit un ensemble modulaire de fonctionnalités et d'outils qui intègrent les bonnes pratiques de SLSA. Vous pouvez consulter des insights sur votre posture de sécurité, y compris le niveau SLSA de vos builds.
Gestion des artefacts et des dépendances
La visibilité sur les failles de votre logiciel vous permet de répondre de manière proactive et de corriger les menaces potentielles avant de publier vos applications auprès de vos clients. Vous pouvez utiliser les outils suivants pour obtenir plus de visibilité sur les failles.
- Analyse des failles
- Les services d'analyse des failles, tels que Artifact Analysis, vous aident à identifier les failles connues de votre logiciel.
- Gestion des dépendances
Open Source Insights est une source centralisée d'informations sur les graphiques de dépendance, les failles connues et les licences associées aux logiciels Open Source. Utilisez ce site pour en savoir plus sur vos dépendances.
Le projet Open Source Insights met également ces données à disposition sous la forme d'un ensemble de données Google Cloud. Vous pouvez utiliser BigQuery pour explorer et analyser les données.
- Règle de contrôle des sources
Les tableaux de données sont des outils automatisés qui identifient les pratiques risquées de la chaîne d'approvisionnement logicielle dans vos projets GitHub.
Allstar est une application GitHub qui surveille en permanence les organisations ou les dépôts GitHub pour vérifier qu'ils respectent les règles configurées. Par exemple, vous pouvez appliquer une règle à votre organisation GitHub qui recherche des collaborateurs externes à l'organisation disposant d'un accès administrateur ou push.
Pour en savoir plus sur la gestion de vos dépendances, consultez la section Gestion des dépendances.
Sensibilisation de l'équipe à la cybersécurité
Si vos équipes comprennent les menaces et les bonnes pratiques liées à la chaîne d'approvisionnement logicielle, elles peuvent concevoir et développer des applications plus sécurisées.
Dans l'étude État de la cybersécurité 2021, partie 2, qui a interrogé des professionnels de la sécurité des informations, les personnes interrogées ont indiqué que les programmes de formation et de sensibilisation à la cybersécurité avaient un impact positif (46%) ou un impact très positif (32%) sur la sensibilisation des employés.
Les ressources suivantes peuvent vous aider à en savoir plus sur la sécurité de la chaîne d'approvisionnement et la sécurité sur Google Cloud:
- Le plan de base d'entreprise de Google Cloud décrit la configuration de la structure organisationnelle, de l'authentification et de l'autorisation, de la hiérarchie des ressources, de la mise en réseau, de la journalisation, des contrôles de détection et plus encore. Il s'agit de l'un des guides du Centre des bonnes pratiques de sécurité dans Google Cloud.
- Developing Secure Software (Développer des logiciels sécurisés) enseigne les pratiques de base du développement logiciel dans le contexte de la sécurité de la chaîne d'approvisionnement logicielle. Ce cours se concentre sur les bonnes pratiques de conception, de développement et de test du code, mais aborde également des sujets tels que la gestion des divulgations de failles, les cas d'assurance et les considérations concernant la distribution et le déploiement de logiciels. La Open Source Security Foundation (OpenSSF) a créé cette formation.
Se préparer au changement
Une fois que vous avez identifié les modifications que vous souhaitez apporter, vous devez les planifier.
- Identifiez les bonnes pratiques et les mesures d'atténuation pour améliorer la fiabilité et la sécurité de votre chaîne d'approvisionnement.
Élaborez des consignes et des règles pour vous assurer que les équipes implémentent les modifications et mesurent la conformité de manière cohérente. Par exemple, vos règles d'entreprise peuvent inclure des critères de déploiement que vous implémentez avec l'autorisation binaire. Les ressources suivantes peuvent vous aider:
- Minimum Viable Secure Product (MVP, produit sécurisé minimum viable), une checklist de contrôles de sécurité permettant d'établir une référence de sécurité pour un produit. Vous pouvez utiliser la checklist pour établir vos exigences minimales en matière de contrôle de la sécurité et pour évaluer les logiciels de fournisseurs tiers.
- Publication NIST Security and Privacy Controls for Information Systems and Organizations (SP 800-53)
Planifiez des modifications incrémentielles pour réduire la taille, la complexité et l'impact de chaque modification. Cela aide également les membres de vos équipes à s'adapter à chaque changement, à fournir des commentaires et à appliquer les leçons que vous avez tirées aux futurs changements.
Les ressources suivantes peuvent vous aider à planifier et à implémenter le changement.
Le livre blanc ROI of DevOps Transformation décrit comment prévoir la valeur et justifier l'investissement dans la transformation DevOps.
Le programme de modernisation des applications Google Cloud fournit une évaluation globale et guidée, mesurant les résultats clés (rapidité, stabilité et surmenage) et identifiant les capacités techniques, procédurales et culturelles qui améliorent ces résultats pour votre organisation. Pour en savoir plus sur le programme, consultez l'article de blog annonçant le CAMP.
Comment transformer vous fournit des conseils pour vous aider à planifier et à implémenter des changements. Favoriser une culture qui favorise le changement incrémentiel et continu permet d'obtenir des résultats plus réussis.
Le framework de livraison de logiciels sécurisés du NIST décrit les pratiques de sécurité logicielle basées sur les pratiques établies par des organisations telles que l'Software Alliance, l'Open Web Application Security Project et SAFECode. Il comprend un ensemble de pratiques pour préparer votre organisation, ainsi que des pratiques pour mettre en œuvre des changements et répondre aux failles.
Étape suivante
- Découvrez les bonnes pratiques pour protéger votre chaîne d'approvisionnement logicielle.
- Découvrez la sécurité de la chaîne d'approvisionnement logicielle, ainsi que les produits et fonctionnalités Google Cloud qui vous aident à protéger votre chaîne d'approvisionnement logicielle.