Évaluez votre stratégie de sécurité

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

La stratégie de sécurité est une capacité d'organisation à détecter les menaces, à y répondre et à y remédier. Il s'agit du niveau de préparation de l'organisation, du matériel, des logiciels, des règles et des processus de l'entreprise tout au long du cycle de vie de son logiciel.

Il existe plusieurs frameworks et outils que vous pouvez utiliser pour évaluer votre stratégie de sécurité et identifier des moyens de limiter les menaces.

Pratiques de livraison de logiciels

Pour adopter une stratégie de sécurité solide, vous devez disposer de connaissances de base solides concernant les bonnes pratiques en matière de livraison de logiciels, qui vont au-delà de la mise en œuvre d'outils et de contrôles techniques. Par exemple, si le processus d'approbation des modifications n'est pas clair, les modifications indésirables seront plus faciles à intégrer dans votre chaîne d'approvisionnement logicielle. Si les équipes ne sont pas encouragées à soulever des problèmes, elles peuvent hésiter à signaler les problèmes de sécurité.

DevOps Research and Assessment (DORA) permet de faire des recherches indépendantes sur les pratiques et les capacités des équipes technologiques hautes performances. Pour évaluer les performances de votre équipe et apprendre à les améliorer, utilisez les ressources DORA suivantes:

Cadres de sécurité

Le framework NIST Secure Software Development Framework (SSDF) et le Cybersecurity Assessment Framework (CAF) sont des frameworks développés par les gouvernements pour aider les organisations à évaluer leur stratégie de sécurité et à atténuer les menaces de la chaîne d'approvisionnement. Ces frameworks tiennent compte du cycle de développement des logiciels, ainsi que d'autres aspects liés à la sécurité logicielle, tels que les plans de gestion des incidents. Leur complexité et leur portée peuvent nécessiter un investissement important en temps et en ressources.

Le niveau SLSA (Levels for Software Artifacts) pour les chaînes d'approvisionnement est un framework qui vise à rendre l'implémentation des évaluations et de l'atténuation plus accessible et incrémentielle. Il décrit les menaces liées à la chaîne d'approvisionnement et les mesures d'atténuation associées, et fournit des exemples d'outils permettant de les mettre en œuvre. De plus, il regroupe les exigences de renforcement de la sécurité à différents niveaux, ce qui vous permet de hiérarchiser les modifications et de les appliquer de manière progressive. La SLSA est principalement axée sur le pipeline de livraison de logiciels. Vous devez donc l'utiliser avec d'autres outils d'évaluation tels que SSDF et CAF.

La SLSA s'inspire de l'autorisation binaire pour Borg de Google, une vérification obligatoire de l'application pour toutes les charges de travail de production de Google.

Software Delivery Shield est une solution de sécurité de la chaîne d'approvisionnement logicielle entièrement gérée sur Google Cloud qui intègre les bonnes pratiques SLSA. Vous pouvez afficher des insights sur votre stratégie de sécurité, y compris le niveau de sécurité SLSA de vos compilations.

Gestion des artefacts et des dépendances

La visibilité sur les failles de votre logiciel vous permet de réagir et de corriger les menaces potentielles de manière proactive avant de publier vos applications auprès de vos clients. Vous pouvez utiliser les outils suivants pour obtenir plus de visibilité sur les failles.

Analyse des failles
Les services d'analyse des failles tels que Container Analysis vous aident à identifier les failles connues dans votre logiciel.
Gestion des dépendances

Open Source Insights est une source centralisée d'informations sur les graphiques de dépendances, les failles connues et les licences associées aux logiciels Open Source. Consultez le site pour en savoir plus sur vos dépendances.

Le projet Open Source Insights met également ces données à disposition en tant qu'ensemble de données Google Cloud. Vous pouvez utiliser BigQuery pour explorer et analyser les données.

Règle de contrôle du code source

Un tableau de données est un outil automatisé qui identifie les pratiques risquées de la chaîne d'approvisionnement logicielle dans vos projets GitHub.

Allstar est une application GitHub qui surveille en permanence si les organisations ou les dépôts GitHub respectent les règles configurées. Par exemple, vous pouvez appliquer à votre organisation GitHub une stratégie qui recherche les collaborateurs externes à l'organisation disposant d'un accès administrateur ou push.

Pour en savoir plus sur la gestion de vos dépendances, consultez la page Gestion des dépendances.

Sensibilisation de l'équipe à la cybersécurité

Si vos équipes ont une bonne compréhension des menaces et des bonnes pratiques liées à la chaîne d'approvisionnement logicielle, elles peuvent concevoir et développer des applications plus sécurisées.

Dans le rapport State of Cybersecurity 2021, Part 2, les personnes interrogées ont déclaré que les programmes de formation et de sensibilisation à la cybersécurité avaient un impact positif (46%) ou très positif (32%) sur la notoriété des employés.

Les ressources suivantes peuvent vous aider à en savoir plus sur la sécurité de la chaîne d'approvisionnement sur Google Cloud:

  • Le guide sur les principes de base de la sécurité Google Cloud décrit, entre autres, la configuration de la structure organisationnelle, de l'authentification et des autorisations, la hiérarchie des ressources, la mise en réseau, la journalisation et les contrôles des détectives. Il s'agit de l'un des guides du Centre de bonnes pratiques de sécurité dans Google Cloud.
  • Le cours Developing Secure Software enseigne les pratiques fondamentales de développement logiciel dans le contexte de la sécurité de la chaîne d'approvisionnement logicielle. Il se concentre sur les bonnes pratiques de conception, de développement et de test du code, mais aborde également des sujets tels que la gestion des divulgations de failles, les cas d'assurance et les considérations liées à la distribution et au déploiement des logiciels. L'entraînement a été créé par l'Open Source Security Foundation (OpenSSF).

Préparer le changement

Une fois que vous avez identifié les modifications que vous souhaitez apporter, vous devez les planifier.

  • Identifier les bonnes pratiques et les mesures d'atténuation pour améliorer la fiabilité et la sécurité de votre chaîne d'approvisionnement.
  • Élaborez des consignes et des règles pour vous assurer que les équipes mettent en œuvre les changements et mesurent la conformité de manière cohérente. Par exemple, les règles de votre entreprise peuvent inclure des critères de déploiement que vous mettez en œuvre avec l'autorisation binaire. Les ressources suivantes peuvent vous aider:

  • Prévoyez des modifications incrémentielles afin de réduire la taille, la complexité et l'impact de chaque modification. Elle permet également aux membres de vos équipes de s'adapter à chaque changement, de donner leur avis et d'appliquer les leçons que vous avez apprises aux futurs changements.

Les ressources suivantes peuvent vous aider à planifier et à implémenter le changement.

Étapes suivantes