Questa documentazione si concentra principalmente sulle best practice a supporto della protezione del software nei processi e nei sistemi della tua catena di fornitura del software. Include inoltre informazioni su come implementare alcune delle pratiche su Google Cloud.
- Salvaguardia dell'integrità dell'origine
- Salvaguardia dell'integrità della build
- Gestione delle dipendenze
- Salvaguardia dei deployment
Esistono considerazioni aggiuntive per la protezione del software che coprono il ciclo di vita del software o sono pratiche di sviluppo fondamentali che supportano la sicurezza della catena di fornitura del software. Ad esempio:
- Controllo dell'accesso fisico e remoto ai sistemi.
- L'implementazione di meccanismi di controllo, monitoraggio e feedback in modo da poter identificare e rispondere rapidamente alle minacce e alla non conformità con i criteri.
- Pratiche di codifica di base tra cui progettazione, convalida dell'input, output in sistemi non attendibili, elaborazione dei dati, analisi del codice e crittografia.
- Pratiche DevOps di base oltre a quelle menzionate in questa documentazione, inclusi approcci tecnici, processi di team e cultura dell'organizzazione.
Rispetta i termini relativi alle licenze software, incluse le licenze open source per le dipendenze dirette e transitive.
Alcune licenze open source hanno termini di licenza restrittivi che possono creare problemi per il software commerciale. In particolare, alcune licenze richiedono di rilasciare il codice sorgente con la stessa licenza del software open source che si sta riutilizzando. Se vuoi mantenere privato il codice sorgente, è importante conoscere i termini delle licenze del software open source che utilizzi.
Sensibilizzazione sulla cybersicurezza mediante formazione ai dipendenti. Secondo lo State of Cybersecurity 2021, Part 2, un sondaggio condotto tra i professionisti della sicurezza delle informazioni, l'ingegneria sociale è stata il tipo di attacco più frequente. I partecipanti al sondaggio hanno anche riferito che i programmi di formazione e sensibilizzazione sulla cybersicurezza hanno avuto un impatto positivo (46%) o un forte impatto positivo (32%) sulla consapevolezza dei dipendenti.
Per saperne di più su questi argomenti, consulta le risorse riportate nelle sezioni seguenti.
Sicurezza su Google Cloud
Scopri come configurare la struttura organizzativa, l'autenticazione e l'autorizzazione, la gerarchia delle risorse, il networking, il logging, i controlli di rilevamento e altro ancora nel progetto delle basi aziendali di Google Cloud, una delle guide disponibili nel Centro best practice per la sicurezza di Google Cloud.
Puoi visualizzare informazioni centralizzate sulle vulnerabilità e sui possibili rischi utilizzando questi servizi Google Cloud:
- Visualizza le informazioni su vulnerabilità e minacce nella tua organizzazione Google Cloud con Security Command Center.
- Ricevi informazioni sull'utilizzo dei servizi con il motore per suggerimenti, inclusi suggerimenti che possono aiutarti a ridurre i rischi. Ad esempio, puoi identificare le entità IAM con autorizzazioni in eccesso o progetti Google Cloud inattivi.
Per ulteriori informazioni sulla sicurezza su Google Cloud, consulta la sezione Sicurezza del sito web Google Cloud.
DevOps e pratiche di sviluppo software
Consulta la documentazione sulle funzionalità DevOps per scoprire di più sulle pratiche DevOps che contribuiscono a una distribuzione più rapida del software e a un software più affidabile e sicuro.
Esistono anche pratiche di base per la progettazione, lo sviluppo e il test del codice che si applicano a tutti i linguaggi di programmazione. Devi inoltre valutare le modalità di distribuzione del software e i termini delle licenze software in tutte le dipendenze. Linux Foundation offre corsi di formazione online gratuiti su questi argomenti:
- Sviluppo di software sicuro: pratiche di sviluppo software di base nel contesto della sicurezza della catena di fornitura del software. Il corso è incentrato sulle best practice per la progettazione, lo sviluppo e il test del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni relative alla distribuzione e al deployment del software. La Open Source Security Foundation (OpenSSF) ha creato il corso.
- Nozioni di base sulle licenze open source per gli sviluppatori Scopri di più sulle licenze e sul copyright per i progetti open source.
- Introduzione alla gestione della conformità delle licenze open source Scopri come creare un programma di conformità open source per la tua organizzazione.
Sviluppo dei criteri
Man mano che implementi le best practice in modo incrementale, documenta i criteri per la tua organizzazione e incorpora la convalida dei criteri nei processi di sviluppo, creazione e deployment. Ad esempio, i criteri aziendali potrebbero includere criteri per il deployment implementati con Autorizzazione binaria.
- Minimo Viable Secure Product, un elenco di controllo di controlli di sicurezza per stabilire una strategia di sicurezza di base per un prodotto. Puoi utilizzare l'elenco di controllo per stabilire i requisiti minimi di controllo della sicurezza e per valutare software di fornitori di terze parti.
- Pubblicazione NIST Security and Privacy Controls for Information Systems and Organization (SP 800-53).