Dokumentasi ini berfokus terutama pada praktik terbaik yang mendukung perlindungan software Anda di seluruh proses dan sistem dalam supply chain software Anda. Panduan ini juga mencakup informasi tentang cara menerapkan beberapa praktik di Google Cloud.
Ada pertimbangan tambahan untuk melindungi software Anda yang mencakup siklus proses software atau merupakan praktik pengembangan dasar yang mendukung keamanan supply chain software. Contoh:
- Mengontrol akses fisik dan jarak jauh ke sistem.
- Menerapkan mekanisme audit, pemantauan, dan masukan sehingga Anda dapat mengidentifikasi dan merespons ancaman serta ketidakpatuhan terhadap kebijakan dengan cepat.
- Praktik coding dasar termasuk desain, validasi input, output ke sistem yang tidak tepercaya, pemrosesan data, analisis kode, dan kriptografi.
- Praktik DevOps dasar di luar yang disebutkan dalam dokumentasi ini, termasuk pendekatan teknis, proses tim, dan budaya organisasi.
Kepatuhan terhadap persyaratan lisensi software, termasuk lisensi open source untuk dependensi langsung dan transitif.
Beberapa lisensi open source memiliki persyaratan lisensi yang membatasi dan bermasalah untuk software komersial. Secara khusus, beberapa lisensi mengharuskan Anda merilis kode sumber berdasarkan lisensi yang sama dengan software open source yang Anda gunakan kembali. Jika Anda ingin menjaga kerahasiaan kode sumber, penting untuk mengetahui persyaratan lisensi software open source yang Anda gunakan.
Meningkatkan kesadaran tentang keamanan cyber dengan memberikan pelatihan kepada karyawan. Menurut Kondisi Keamanan Cyber 2021, Bagian 2, survei profesional keamanan informasi, manipulasi psikologis adalah jenis serangan yang paling sering terjadi. Responden survei juga melaporkan bahwa program pelatihan dan kesadaran keamanan siber memiliki beberapa dampak positif (46%) atau dampak positif yang kuat (32%) terhadap kesadaran karyawan.
Gunakan referensi di bagian berikut untuk mempelajari topik ini lebih lanjut.
Keamanan di Google Cloud
Pelajari cara menyiapkan struktur organisasi, autentikasi dan otorisasi, hierarki resource, jaringan, logging, kontrol detektif, dan lainnya di blueprint dasar-dasar perusahaan Google Cloud, salah satu panduan di pusat praktik terbaik keamanan Google Cloud.
Anda dapat melihat informasi terpusat tentang kerentanan dan kemungkinan risiko menggunakan layanan Google Cloud berikut:
- Lihat informasi tentang kerentanan dan ancaman di seluruh organisasi Google Cloud Anda dengan Security Command Center.
- Dapatkan informasi tentang penggunaan layanan Anda dengan Rekomendasi, termasuk rekomendasi yang dapat membantu Anda mengurangi risiko. Misalnya, Anda dapat mengidentifikasi akun utama IAM dengan izin berlebih atau project Google Cloud yang tidak diawasi.
Untuk mempelajari keamanan di Google Cloud lebih lanjut, lihat bagian Keamanan di situs Google Cloud.
Praktik DevOps dan pengembangan software
Lihat dokumentasi kemampuan DevOps untuk mempelajari lebih lanjut praktik DevOps yang berkontribusi pada pengiriman software yang lebih cepat serta software yang lebih andal dan aman.
Ada juga praktik dasar untuk mendesain, mengembangkan, dan menguji kode yang berlaku untuk semua bahasa pemrograman. Anda juga perlu mengevaluasi cara mendistribusikan software dan persyaratan lisensi software di semua dependensi Anda. Linux Foundation menawarkan pelatihan online gratis tentang topik berikut:
- Developing Secure Software: Praktik pengembangan software dasar dalam konteks keamanan supply chain software. Kursus ini berfokus pada praktik terbaik untuk mendesain, mengembangkan, dan menguji kode, tetapi juga mencakup topik seperti menangani pengungkapan kerentanan, kasus jaminan, dan pertimbangan untuk distribusi dan deployment software. Open Source Security Foundation (OpenSSF) membuat pelatihan ini.
- Dasar-Dasar Pemberian Lisensi Open Source untuk Developer Pelajari lisensi dan hak cipta untuk project open source.
- Pengantar Manajemen Kepatuhan Lisensi Open Source Pelajari cara membuat program kepatuhan open source untuk organisasi Anda.
Mengembangkan kebijakan
Saat Anda menerapkan praktik terbaik secara bertahap, dokumentasikan kebijakan untuk organisasi Anda dan sertakan validasi kebijakan ke dalam proses pengembangan, build, dan deployment Anda. Misalnya, kebijakan perusahaan Anda mungkin menyertakan kriteria untuk deployment yang Anda terapkan dengan Otorisasi Biner.
- Minimum Viable Secure Product, checklist kontrol keamanan untuk menetapkan postur keamanan dasar pengukuran untuk produk. Anda dapat menggunakan checklist untuk menetapkan persyaratan kontrol keamanan minimum dan mengevaluasi software oleh vendor pihak ketiga.
- Publikasi Security and Privacy Controls for Information Systems and Organizations (SP 800-53) NIST.