Protéger votre chaîne d'approvisionnement logicielle

Cette documentation se concentre principalement sur les bonnes pratiques permettant de protéger vos logiciels dans l'ensemble des processus et systèmes de votre chaîne d'approvisionnement logicielle. Il contient également des informations sur la mise en œuvre de certaines pratiques sur Google Cloud.

• Protéger l'intégrité des sources
• Protéger l'intégrité d'un build
• Gérer les dépendances
• Protéger les déploiements

D'autres considérations relatives à la protection de vos logiciels s'étendent sur leur cycle de vie ou constituent des pratiques de développement fondamentales compatibles avec la sécurité sur la chaîne d'approvisionnement logicielle. Exemple :

• Contrôler l'accès physique et à distance aux systèmes.
• Mettre en œuvre des mécanismes d'audit, de surveillance et de rétroaction pour être en mesure d'identifier et de gérer rapidement les menaces et le non-respect des règles.
• Pratiques fondamentales de codage, y compris la conception, la validation des entrées, la sortie vers des systèmes fiables, le traitement des données, l'analyse du code et la cryptographie.
• Pratiques DevOps fondamentales au-delà de celles mentionnées dans cette documentation, y compris les approches techniques, les processus d'équipe et la culture organisationnelle.

• Respect des conditions d'utilisation des licences logicielles, y compris les licences Open Source pour les dépendances directes et transitives.

  Certaines licences Open Source sont soumises à des conditions d'utilisation restrictives qui sont problématiques pour les logiciels commerciaux. En particulier, certaines licences exigent que vous libériez votre code source sous la même licence que le logiciel Open Source que vous réutilisez. Si vous souhaitez que votre code source reste privé, il est important de connaître les conditions de licence des logiciels Open Source que vous utilisez.

• Sensibiliser davantage les employés à la cybersécurité Selon l'État de la cybersécurité 2021, partie 2, une enquête menée auprès de professionnels de la sécurité de l'information, l'ingénierie sociale était le type d'attaque le plus fréquent. Les personnes interrogées ont également indiqué que les programmes de formation et de sensibilisation à la cybersécurité ont eu un impact positif (46%) ou un impact très positif (32%) sur la sensibilisation des employés.

Consultez les ressources des sections suivantes pour en savoir plus à ce sujet.

Security on Google Cloud

Découvrez comment configurer la structure de l'organisation, l'authentification et les autorisations, la hiérarchie des ressources, la mise en réseau, la journalisation, les contrôles de détection et plus encore dans le plan de base de Google Cloud pour les entreprises, l'un des guides du Centre des bonnes pratiques de sécurité Google Cloud.

Vous pouvez afficher des informations centralisées sur les failles et les risques potentiels à l'aide des services Google Cloud suivants:

• Affichez des informations sur les failles et les menaces dans votre organisation Google Cloud avec Security Command Center.
• Obtenez des informations sur votre utilisation des services à l'aide de l'outil de recommandation, y compris des recommandations qui peuvent vous aider à réduire les risques. Par exemple, vous pouvez identifier les comptes principaux IAM ayant des autorisations en excès ou des projets Google Cloud dormants.

Pour en savoir plus sur la sécurité sur Google Cloud, consultez la section Sécurité du site Web de Google Cloud.

DevOps et pratiques de développement logiciel

Consultez la documentation sur les fonctionnalités DevOps pour en savoir plus sur les pratiques DevOps qui permettent d'accélérer la livraison de logiciels, et de renforcer la fiabilité et la sécurité de logiciels.

Il existe également des pratiques fondamentales pour concevoir, développer et tester du code qui s'appliquent à tous les langages de programmation. Vous devez également évaluer la manière dont vous distribuez les logiciels et les conditions des licences logicielles dans toutes vos dépendances. La Linux Foundation propose des formations en ligne gratuites sur les sujets suivants:

• Développer des logiciels sécurisés: pratiques fondamentales de développement de logiciels dans le contexte de la sécurité sur la chaîne d'approvisionnement logicielle. Il se concentre sur les bonnes pratiques de conception, de développement et de test de code, mais aborde également des sujets tels que la gestion des divulgations de failles, les cas d'assurance et les considérations relatives à la distribution et au déploiement de logiciels. L'entraînement a été créé par l'Open Source Security Foundation (OpenSSF).
• Principes de base des licences Open Source pour les développeurs Découvrez les licences et les droits d'auteur pour les projets Open Source.
• Introduction à la gestion de la conformité des licences Open Source Découvrez comment créer un programme de conformité Open Source pour votre organisation.

Élaboration de vos règles

À mesure que vous mettez en œuvre progressivement les bonnes pratiques, documentez les règles de votre organisation et intégrez la validation des règles dans vos processus de développement, de compilation et de déploiement. Par exemple, les règles de votre entreprise peuvent inclure des critères de déploiement que vous mettez en œuvre avec l'autorisation binaire.

• Minimum Viable Secure Product (Produit sécurisé minimal viable) : checklist de sécurité contenant des contrôles permettant d'établir une stratégie de sécurité de base pour un produit. Elle vous permet de définir vos exigences minimales en termes de contrôle de sécurité et d'évaluer les logiciels des fournisseurs tiers.
• Publication (SP 800-53) du NIST sur les contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations.