评估安全状况

安全状况是组织检测、响应和补救威胁的能力。它包括组织人员、硬件、软件、政策和流程在整个软件生命周期内的准备情况。

您可以使用多种框架和工具来评估安全状况,并确定缓解威胁的方法。

软件交付实践

可靠的安全状况需要在软件交付最佳实践方面奠定坚实的基础,而这些实践并不局限于实现工具和技术控制措施。例如,如果变更审批流程不明确,则不需要的更改更容易进入您的软件供应链。如果团队不愿意提出问题,他们可能会犹豫是否要报告安全问题。

DevOps 研究和评估 (DORA) 对高性能技术团队的做法和能力进行独立研究。如需评估您团队的表现并了解改进方法,请使用以下 DORA 资源:

  • 进行 DORA DevOps 快速检查,获取有关您的组织与其他组织的对比情况的快速反馈。
  • 了解 DORA 确定的技术、流程、衡量和文化 DevOps capabilities

安全状况框架

NIST 安全软件开发框架 (SSDF) 和网络安全评估框架 (CAF) 是政府开发的框架,旨在帮助组织评估其安全状况并减轻供应链威胁。这些框架会考虑软件开发生命周期以及与软件安全相关的其他方面(例如突发事件响应计划)。这些框架的复杂性和范围可能需要大量的时间和资源。

软件工件的供应链级别 (SLSA) 是一个框架,旨在使评估和缓解实施更接近于逐步进行的操作。还介绍了供应链威胁和相关缓解措施,并提供了实施缓解措施的工具示例。它还按等级对强化安全状况的要求进行了分组,以便您确定变更的优先级并逐步实施。SLSA 主要侧重于软件交付流水线,因此您应该将其与其他评估工具(如 SSDF 和 CAF)结合使用。

SLSA 的灵感源自 Google 内部的 Binary Authorization for Borg,它是针对 Google 所有生产工作负载的强制性强制执行检查。

Software Delivery Shield 是 Google Cloud 上的全代管式软件供应链安全解决方案,融合了 SLSA 中的最佳实践。您可以查看有关安全状况的数据分析,包括构建的 SLSA 级别。

工件和依赖项管理

通过了解软件中的漏洞,您可以在向客户发布应用之前主动响应和修复潜在威胁。您可以使用以下工具更深入地了解漏洞。

漏洞扫描
Artifact Analysis 等漏洞扫描服务可帮助您识别软件中的已知漏洞。
依赖项管理

Open Source Insights 是一个集中来源,可获取与开源软件关联的依赖关系图、已知漏洞和许可的相关信息。使用该网站了解您的依赖项。

Open Source Insights 项目也以 Google Cloud 数据集的形式提供这些数据。您可以使用 BigQuery 来探索和分析数据。

源代码控制政策

统计信息摘要是一种自动化工具,用于识别 GitHub 项目中有风险的软件供应链实践。

Allstar 是一款 GitHub 应用,可持续监控 GitHub 组织或代码库是否遵守已配置的政策。例如,您可以将某项政策应用于 GitHub 组织,以检查组织外部具有管理员或推送访问权限的协作者。

如需详细了解如何管理依赖项,请参阅依赖项管理

团队对信息安全的意识

如果您的团队了解软件供应链威胁和最佳实践,他们就可以设计和开发更安全的应用。

2021 年网络信息安全现状第 2 部分(针对信息安全专业人员的调查)中,调查受访者表示,信息安全培训和意识计划对员工意识产生了一些积极影响 (46%) 或强烈的积极影响 (32%)。

以下资源可帮助您详细了解 Google Cloud 上的供应链安全性:

正在为变化做好准备

在确定要进行的更改后,您需要为这些更改制定计划。

  • 确定提高供应链的可靠性和安全性的最佳实践和缓解措施。

  • 制定准则和政策,确保团队以一致的方式实施变更并衡量合规性。例如,您的公司政策可能包含您使用 Binary Authorization 实现的部署标准。以下资源可以帮助您:

  • 规划增量更改,以减小每项更改的规模、复杂性和影响。它还可以帮助您团队中的人员适应每项变化、提供反馈,并将您学到的经验教训用于未来的更改。

以下资源可以帮助您规划和实施变更。

后续步骤