Postur keamanan adalah kemampuan organisasi untuk mendeteksi, merespons, dan memperbaiki ancaman. Hal ini mencakup kesiapan orang, hardware, software, kebijakan, dan proses organisasi di seluruh siklus proses software.
Ada sejumlah framework dan alat yang dapat Anda gunakan untuk menilai postur keamanan serta mengidentifikasi cara memitigasi ancaman.
Praktik pengiriman software
Postur keamanan yang kuat memerlukan fondasi yang kuat dalam praktik terbaik pengiriman software, dan praktik ini tidak hanya menerapkan alat dan kontrol teknis. Misalnya, jika proses persetujuan perubahan tidak jelas, perubahan yang tidak diinginkan akan lebih mudah masuk ke rantai pasokan software Anda. Jika tim tidak didorong untuk mengangkat masalah, mereka mungkin ragu untuk melaporkan masalah keamanan.
DevOps Research and Assessment (DORA) melakukan riset independen terhadap praktik dan kemampuan tim teknologi performa tinggi. Untuk menilai performa tim Anda dan mempelajari cara meningkatkannya, gunakan referensi DORA berikut:
- Lakukan Pemeriksaan Cepat DevOps DORA untuk mendapatkan beberapa masukan cepat tentang perbandingan organisasi Anda dengan organisasi lain.
- Baca tentang capabilities DevOps teknis, proses, pengukuran, dan budaya yang diidentifikasi oleh DORA.
Framework untuk postur keamanan
NIST Secure Software Development Framework (SSDF) dan Cybersecurity Assessment Framework (CAF) adalah framework yang dikembangkan oleh pemerintah untuk membantu organisasi menilai postur keamanan mereka dan memitigasi ancaman supply chain. Framework ini mempertimbangkan siklus proses pengembangan software serta aspek lain yang terkait dengan keamanan software seperti rencana respons insiden. Kompleksitas dan cakupan framework ini dapat memerlukan investasi waktu dan sumber daya yang cukup besar.
Supply chain Levels for Software Artifacts (SLSA) adalah framework yang bertujuan untuk membuat penerapan mitigasi dan penilaian lebih mudah diakses dan inkremental. Panduan ini menjelaskan ancaman supply chain dan mitigasi terkait serta memberikan contoh alat untuk menerapkan mitigasi. Panduan ini juga mengelompokkan persyaratan untuk memperkuat postur keamanan Anda dalam tingkatan, sehingga Anda dapat memprioritaskan dan menerapkan perubahan secara bertahap. SLSA terutama berfokus pada pipeline pengiriman software, sehingga Anda harus menggunakannya bersama dengan alat penilaian lainnya seperti SSDF dan CAF.
SLSA terinspirasi oleh Otorisasi Biner untuk Borg internal Google, pemeriksaan penerapan wajib untuk semua workload produksi Google.
Google Cloud menyediakan serangkaian kemampuan dan alat modular yang menggabungkan praktik terbaik di SLSA. Anda dapat melihat insight tentang postur keamanan, termasuk tingkat SLSA build Anda.
Pengelolaan artefak dan dependensi
Visibilitas terhadap kerentanan dalam software memungkinkan Anda merespons dan memperbaiki potensi ancaman secara proaktif sebelum merilis aplikasi kepada pelanggan. Anda dapat menggunakan alat berikut untuk mendapatkan visibilitas yang lebih baik tentang kerentanan.
- Pemindaian kerentanan
- Layanan pemindaian kerentanan seperti Artifact Analysis membantu Anda mengidentifikasi kerentanan yang diketahui dalam software.
- Pengelolaan dependensi
Insight Open Source adalah sumber terpusat untuk informasi tentang grafik dependensi, kerentanan yang diketahui, dan lisensi yang terkait dengan software open source. Gunakan situs ini untuk mempelajari dependensi Anda.
Project Open Source Insights juga menyediakan data ini sebagai Set Data Google Cloud. Anda dapat menggunakan BigQuery untuk menjelajahi dan menganalisis data.
- Kebijakan kontrol sumber
Kartu skor adalah alat otomatis yang mengidentifikasi praktik rantai pasokan software berisiko di project GitHub Anda.
Allstar adalah Aplikasi GitHub yang terus-menerus memantau organisasi atau repositori GitHub untuk kepatuhan terhadap kebijakan yang dikonfigurasi. Misalnya, Anda dapat menerapkan kebijakan ke organisasi GitHub yang memeriksa kolaborator di luar organisasi yang memiliki akses push atau administrator.
Untuk mempelajari lebih lanjut cara mengelola dependensi, lihat Pengelolaan dependensi
Kesadaran tim tentang pengamanan cyber
Jika tim Anda memiliki pemahaman tentang ancaman dan praktik terbaik supply chain software, mereka dapat mendesain dan mengembangkan aplikasi yang lebih aman.
Dalam Kondisi Keamanan Cyber 2021, Bagian 2, survei tentang profesional keamanan informasi, responden survei melaporkan bahwa program pelatihan dan kesadaran keamanan cyber memiliki beberapa dampak positif (46%) atau dampak positif yang kuat (32%) terhadap kesadaran karyawan.
Referensi berikut dapat membantu Anda mempelajari lebih lanjut keamanan supply chain dan keamanan di Google Cloud:
- Blueprint dasar-dasar perusahaan Google Cloud menjelaskan cara menyiapkan struktur organisasi, autentikasi dan otorisasi, hierarki resource, jaringan, logging, kontrol detektif, dan lainnya. Panduan ini adalah salah satu panduan di pusat praktik terbaik keamanan Google Cloud.
- Developing Secure Software mengajarkan praktik pengembangan software dasar dalam konteks keamanan supply chain software. Kursus ini berfokus pada praktik terbaik untuk mendesain, mengembangkan, dan menguji kode, tetapi juga mencakup topik seperti menangani pengungkapan kerentanan, kasus jaminan, dan pertimbangan untuk distribusi dan deployment software. Open Source Security Foundation (OpenSSF) membuat pelatihan ini.
Mempersiapkan perubahan
Setelah mengidentifikasi perubahan yang ingin dilakukan, Anda perlu merencanakan perubahan tersebut.
- Identifikasi praktik terbaik dan mitigasi untuk meningkatkan keandalan dan keamanan supply chain Anda.
Kembangkan pedoman dan kebijakan untuk memastikan tim menerapkan perubahan dan mengukur kepatuhan secara konsisten. Misalnya, kebijakan perusahaan Anda mungkin menyertakan kriteria untuk deployment yang Anda terapkan dengan Otorisasi Biner. Referensi berikut dapat membantu Anda:
- Minimum Viable Secure Product, checklist kontrol keamanan untuk menetapkan postur keamanan dasar pengukuran untuk produk. Anda dapat menggunakan checklist untuk menetapkan persyaratan kontrol keamanan minimum dan mengevaluasi software oleh vendor pihak ketiga.
- Publikasi Security and Privacy Controls for Information Systems and Organizations NIST (SP 800-53).
Rencanakan perubahan inkremental untuk mengurangi ukuran, kompleksitas, dan dampak setiap perubahan. Hal ini juga membantu orang-orang dalam tim Anda menyesuaikan diri dengan setiap perubahan, memberikan masukan, dan menerapkan pelajaran yang telah Anda pelajari untuk perubahan di masa mendatang.
Referensi berikut dapat membantu Anda merencanakan dan menerapkan perubahan.
ROI of DevOps Transformation adalah laporan resmi yang menjelaskan cara memperkirakan nilai dan membenarkan investasi dalam transformasi DevOps.
Program Modernisasi Aplikasi Cloud Google memberikan penilaian terarah yang menyeluruh, mengukur hasil utama (kecepatan, stabilitas, dan kejenuhan) serta mengidentifikasi kemampuan teknis, proses, dan budaya yang meningkatkan hasil tersebut untuk organisasi Anda. Lihat postingan blog pengumuman CAMP untuk mengetahui informasi selengkapnya tentang program ini.
Cara melakukan transformasi memberikan panduan untuk membantu Anda merencanakan dan menerapkan perubahan. Menciptakan budaya yang mendukung perubahan berkelanjutan dan inkremental akan menghasilkan hasil perubahan yang lebih sukses.
NIST Secure Software Delivery Framework menjelaskan praktik keamanan software berdasarkan praktik yang telah ditetapkan dari organisasi seperti The Software Alliance, Open Web Application Security Project, dan SAFECode. Panduan ini mencakup serangkaian praktik untuk menyiapkan organisasi Anda serta praktik untuk menerapkan perubahan dan merespons kerentanan.
Langkah selanjutnya
- Pelajari praktik terbaik untuk melindungi supply chain software Anda.
- Pelajari keamanan supply chain software serta produk dan fitur Google Cloud yang membantu Anda melindungi supply chain software.