Softwarelieferkette schützen

In dieser Dokumentation geht es hauptsächlich um Best Practices, die Sie beim Schutz Ihrer Software in allen Prozessen und Systemen Ihrer Softwarelieferkette unterstützen. Außerdem finden Sie hier Informationen zur Implementierung einiger der Praktiken in Google Cloud.

• Quellintegrität schützen
• Build-Integrität schützen
• Abhängigkeiten verwalten
• Bereitstellungen absichern

Es gibt zusätzliche Überlegungen zum Schutz Ihrer Software, die sich über den Softwarelebenszyklus erstrecken oder grundlegende Entwicklungspraktiken sind, die die Sicherheit der Softwarelieferkette unterstützen. Beispiel:

• Physischen Zugriff und Remotezugriff auf Systeme steuern
• Implementierung von Audit-, Monitoring- und Feedbackmechanismen, damit Sie Bedrohungen und Richtlinienverstöße schnell erkennen und darauf reagieren können.
• Grundlegende Programmierpraktiken, einschließlich Design, Eingabevalidierung, Ausgabe an vertrauenswürdige Systeme, Datenverarbeitung, Codeanalyse und Kryptografie.
• Neben den in dieser Dokumentation erwähnten grundlegenden DevOps-Praktiken gibt es auch technische Ansätze, Teamprozesse und Organisationskultur.

• Einhaltung der Bedingungen für Softwarelizenzen, einschließlich Open-Source-Lizenzen für direkte und transitive Abhängigkeiten

  Einige Open-Source-Lizenzen haben restriktive Lizenzbedingungen, die für kommerzielle Software problematisch sind. Insbesondere erfordern einige Lizenzen, dass Sie Ihren Quellcode unter derselben Lizenz wie die von Ihnen wiederverwendete Open-Source-Software veröffentlichen müssen. Wenn Sie Ihren Quellcode privat halten möchten, ist es wichtig, die Lizenzbedingungen der von Ihnen verwendeten Open-Source-Software zu kennen.

• Mitarbeiterschulungen, um das Bewusstsein für Internetsicherheit zu stärken Laut State of Cybersecurity 2021, Teil 2, einer Umfrage unter IT-Sicherheitsexperten, war Social Engineering die häufigste Art von Angriff. Die Teilnehmer der Umfrage berichteten auch, dass Schulungen und Sensibilisierungsprogramme zur Internetsicherheit einige positive Auswirkungen (46%) oder starke positive Auswirkungen (32%) auf das Bewusstsein der Mitarbeiter hatten.

In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Themen.

Sicherheit in Google Cloud

Weitere Informationen zum Einrichten der Organisationsstruktur, der Authentifizierung und Autorisierung, der Ressourcenhierarchie, des Netzwerks, des Loggings, der Erkennungskontrollen und mehr finden Sie im Blueprint zu den Google Cloud-Grundlagen für Unternehmen, einem der Leitfäden im Best Practices für die Sicherheit von Google Cloud.

Mit den folgenden Google Cloud-Diensten können Sie zentralisierte Informationen zu Sicherheitslücken und möglichen Risiken aufrufen:

• Sehen Sie sich mit Security Command Center Informationen zu Sicherheitslücken und Bedrohungen in Ihrer Google Cloud-Organisation an.
• Mit Recommender erhalten Sie Informationen zu Ihrer Dienstnutzung, einschließlich Empfehlungen zur Risikoreduktion. Sie können beispielsweise IAM-Hauptkonten mit nicht erforderlichen Berechtigungen oder unbeaufsichtigte Google Cloud-Projekte identifizieren.

Weitere Informationen zur Sicherheit in Google Cloud finden Sie im Abschnitt „Sicherheit“ auf der Google Cloud-Website.

DevOps- und Softwareentwicklungspraktiken

In der Dokumentation zu DevOps-Funktionen erfahren Sie mehr über DevOps-Praktiken, die zu einer schnelleren Softwarebereitstellung sowie zu zuverlässiger und sicherer Software beitragen.

Es gibt auch grundlegende Praktiken zum Entwerfen, Entwickeln und Testen von Code, die für alle Programmiersprachen gelten. Außerdem müssen Sie prüfen, wie Sie Software verteilen und welche Bedingungen für die Softwarelizenzen in allen Abhängigkeiten bestehen. Die Linux Foundation bietet kostenlose Onlineschulungen zu folgenden Themen an:

• Entwicklung sicherer Software: Grundlegende Methoden der Softwareentwicklung im Kontext der Sicherheit der Softwarelieferkette. Der Kurs konzentriert sich auf Best Practices für das Entwerfen, Entwickeln und Testen von Code, behandelt aber auch Themen wie den Umgang mit Offenlegungen zu Sicherheitslücken, Sicherheitsfälle und Überlegungen zur Softwareverteilung und -bereitstellung. Die Open Source Security Foundation (OpenSSF) hat die Schulung erstellt.
• Grundlagen der Open-Source-Lizenzierung für Entwickler Informationen zu Lizenzen und zum Urheberrecht bei Open-Source-Projekten
• Einführung in die Verwaltung von Open-Source-Lizenzkonformität Erfahren Sie, wie Sie ein Open-Source-Compliance-Programm für Ihre Organisation erstellen.

Richtlinien ausarbeiten

Dokumentieren Sie bei der schrittweisen Implementierung von Best Practices die Richtlinien für Ihre Organisation und binden Sie die Validierung der Richtlinien in Ihre Entwicklungs-, Build- und Bereitstellungsprozesse ein. Ihre Unternehmensrichtlinien können beispielsweise Kriterien für die Bereitstellung enthalten, die Sie mit der Binärautorisierung implementieren.

• Minimum Viable Secure Product, eine Sicherheits-Checkliste mit Kontrollen zum Festlegen eines grundlegenden Sicherheitsstatus für ein Produkt. Mithilfe der Checkliste können Sie Ihre Mindestanforderungen an die Sicherheitskontrollen festlegen und Software von Drittanbietern bewerten.
• NIST-Publikation Security and Privacy Controls for Information Systems and organizations (SP 800-53).