A postura de segurança é a capacidade de uma organização de detectar, responder e remediar ameaças. Ela inclui a prontidão das pessoas, do hardware, do software, das políticas e dos processos de uma organização em todo o ciclo de vida do software.
Há vários frameworks e ferramentas que você pode usar para avaliar sua postura de segurança e identificar maneiras de reduzir ameaças.
Práticas de entrega de software
Uma postura de segurança forte exige uma base sólida nas práticas recomendadas de entrega de software, e essas práticas vão além da implementação de ferramentas e controles técnicos. Por exemplo, se o processo de aprovação de mudança não for claro, será mais fácil para mudanças indesejadas entrarem na cadeia de suprimentos do software. Se as equipes forem desencorajadas a relatar problemas, elas podem hesitar em informar problemas de segurança.
O DevOps Research and Assessment (DORA) realiza pesquisas independentes sobre práticas e recursos de equipes de tecnologia de alto desempenho. Para avaliar o desempenho da sua equipe e saber como melhorar, use os seguintes recursos da DORA:
- Faça a verificação rápida do DevOps da DORA para receber feedback rápido sobre como sua organização se compara com outras.
- Leia sobre os capabilities técnicos, de processo, de medição e culturais de DevOps identificados pelo DORA.
Frameworks para postura de segurança
O Framework de desenvolvimento de software seguro do NIST (SSDF, na sigla em inglês) e o Framework de avaliação de segurança cibernética (CAF, na sigla em inglês) são frameworks desenvolvidos por governos para ajudar as organizações a avaliar a postura de segurança e mitigar ameaças à cadeia de suprimentos. Esses frameworks levam em consideração o ciclo de vida de desenvolvimento de software e outros aspectos relacionados à segurança de software, como planos de resposta a incidentes. A complexidade e o escopo desses frameworks podem exigir um investimento substancial em tempo e recursos.
Níveis da cadeia de suprimentos para artefatos de software (SLSA) é um framework que visa tornar a implementação de avaliação e mitigação mais acessível e incremental. Ele explica as ameaças à cadeia de suprimentos e as mitigações associadas, além de fornecer exemplos de ferramentas para implementar mitigações. Ele também agrupa os requisitos para fortalecer sua postura de segurança em níveis, para que você possa priorizar e implementar mudanças de forma incremental. A SLSA se concentra principalmente no pipeline de entrega de software. Portanto, use-a com outras ferramentas de avaliação, como o SSDF e o CAF.
A SLSA é inspirada na autorização binária para Borg interna do Google, uma verificação de aplicação obrigatória para todas as cargas de trabalho de produção do Google.
O Google Cloud oferece um conjunto modular de recursos e ferramentas que incorporam as práticas recomendadas do SLSA. É possível conferir insights sobre sua postura de segurança, incluindo o nível de SLSA dos seus builds.
Gerenciamento de artefatos e dependências
A visibilidade das vulnerabilidades no software permite responder proativamente e remediar possíveis ameaças antes de lançar os aplicativos para os clientes. Use as ferramentas a seguir para ter mais visibilidade sobre as vulnerabilidades.
- Verificação de vulnerabilidades
- Os serviços de verificação de vulnerabilidades, como o Artifact Analysis, ajudam a identificar vulnerabilidades conhecidas no software.
- Gerenciamento de dependências
Open Source Insights são uma fonte centralizada de informações sobre gráficos de dependência, vulnerabilidades conhecidas e licenças associadas a softwares de código aberto. Use o site para saber mais sobre suas dependências.
O projeto Open Source Insights também disponibiliza esses dados como um conjunto de dados do Google Cloud. Use o BigQuery para analisar os dados.
- Política de controle de origem
As placas de avaliação são uma ferramenta automatizada que identifica práticas de cadeia de suprimento de software arriscadas nos seus projetos do GitHub.
O Allstar é um app do GitHub que monitora continuamente as organizações ou os repositórios do GitHub para verificar a adesão às políticas configuradas. Por exemplo, é possível aplicar uma política à sua organização do GitHub que verifica se há colaboradores fora da organização que têm acesso de administrador ou push.
Para saber mais sobre como gerenciar suas dependências, consulte Gerenciamento de dependências.
Conscientização da equipe sobre a segurança cibernética
Se as equipes entenderem as ameaças e as práticas recomendadas da cadeia de suprimentos de software, elas poderão projetar e desenvolver aplicativos mais seguros.
No Estado da segurança cibernética 2021, Parte 2, uma pesquisa com profissionais de segurança da informação, os participantes da pesquisa informaram que os programas de treinamento e conscientização sobre segurança cibernética tiveram algum impacto positivo (46%) ou forte impacto positivo (32%) na conscientização dos funcionários.
Os recursos a seguir podem ajudar você a saber mais sobre a segurança da cadeia de suprimentos e a segurança no Google Cloud:
- O blueprint de bases empresariais do Google Cloud descreve como configurar a estrutura da organização, a autenticação e a autorização, a hierarquia de recursos, a rede, a geração de registros, os controles de detecção e muito mais. Ele é um dos guias da Central de práticas recomendadas de segurança do Google Cloud.
- Desenvolvimento de software seguro ensina práticas básicas de desenvolvimento de software no contexto da segurança da cadeia de suprimentos de software. O curso se concentra nas práticas recomendadas para projetar, desenvolver e testar códigos, mas também aborda temas como lidar com divulgações de vulnerabilidades, casos de garantia e considerações para distribuição e implantação de software. O treinamento foi criado pela Open Source Security Foundation (OpenSSF).
Como se preparar para a mudança
Depois de identificar as mudanças que você quer fazer, é necessário planejar elas.
- Identifique práticas recomendadas e mitigações para melhorar a confiabilidade e a segurança da sua cadeia de suprimentos.
Desenvolva diretrizes e políticas para garantir que as equipes implementem mudanças e avaliem a conformidade de maneira consistente. Por exemplo, as políticas da empresa podem incluir critérios de implantação que você implementa com a autorização binária. Os recursos a seguir podem ajudar você:
- Produto mínimo viável seguro, uma lista de verificação de segurança de controles para estabelecer uma postura de segurança de referência para um produto. É possível usar a lista de verificação para estabelecer seus requisitos mínimos de controle de segurança e avaliar o software de fornecedores terceirizados.
- Publicação Controles de segurança e privacidade para organizações e sistemas de informação (SP 800-53) do NIST.
Planeje mudanças incrementais para reduzir o tamanho, a complexidade e o impacto de cada mudança. Isso também ajuda as pessoas nas suas equipes a se ajustarem a cada mudança, dar feedback e aplicar as lições aprendidas em mudanças futuras.
Os recursos a seguir podem ajudar você a planejar e implementar mudanças.
O ROI da transformação de DevOps é um documento técnico que descreve como prever o valor e justificar o investimento na transformação de DevOps.
O Programa de modernização de aplicativos do Google Cloud oferece uma avaliação holística e orientada, que mede os principais resultados (velocidade, estabilidade e esgotamento) e identifica os recursos técnicos, de processo e culturais que melhoram esses resultados para sua organização. Consulte a postagem do blog sobre o anúncio do CAMP para mais informações sobre o programa.
O Como transformar oferece orientações para ajudar você a planejar e implementar mudanças. Promover uma cultura que apoie mudanças incrementais e contínuas leva a resultados de mudança mais bem-sucedidos.
O Framework de Entrega de Software Seguro do NIST descreve práticas de segurança de software com base em práticas estabelecidas de organizações como a The Software Alliance, o Open Web Application Security Project e o SAFECode. Ele inclui um conjunto de práticas para preparar sua organização, além de práticas para implementar mudanças e responder a vulnerabilidades.
A seguir
- Saiba mais sobre as práticas recomendadas para proteger sua cadeia de suprimentos de software.
- Saiba mais sobre a segurança da cadeia de suprimentos de software e os produtos e recursos do Google Cloud que ajudam a proteger sua cadeia de suprimentos de software.