Proteja sua cadeia de suprimentos de software

Esta documentação se concentra principalmente nas práticas recomendadas que ajudam a proteger seu software em processos e sistemas da cadeia de suprimentos do software. Ele também inclui informações sobre como implementar algumas das práticas no Google Cloud.

Há outras considerações para proteger seu software que abrangem o ciclo de vida do software ou são práticas de desenvolvimento fundamentais que oferecem suporte à segurança da cadeia de suprimentos de software. Exemplo:

  • Controle de acesso físico e remoto a sistemas.
  • Implementar mecanismos de auditoria, monitoramento e feedback para identificar e responder rapidamente a ameaças e não conformidade com a política.
  • Práticas de programação fundamentais, incluindo design, validação de entrada, saída para sistemas não confiáveis, processamento de dados, análise de código e criptografia.
  • Práticas básicas de DevOps além das mencionadas nesta documentação, incluindo abordagens técnicas, processo de equipe e cultura organizacional.

  • Adesão aos termos das licenças de software, incluindo licenças de código aberto para dependências diretas e transitivas.

    Algumas licenças de código aberto têm termos restritivos que são problemáticos para softwares comerciais. Especificamente, algumas licenças exigem que você libere seu código-fonte sob a mesma licença do software de código aberto que você está reutilizando. Se você quiser manter seu código-fonte privado, é importante conhecer os termos das licenças do software de código aberto que você usa.

  • Aumentar a conscientização sobre a cibersegurança com treinamento para os funcionários. De acordo com o Estado da segurança cibernética 2021, Parte 2, uma pesquisa com profissionais de segurança da informação, a engenharia social foi o tipo de ataque mais frequente. Os entrevistados da pesquisa também informaram que os programas de treinamento e conscientização em cibersegurança tiveram algum impacto positivo (46%) ou um forte impacto positivo (32%) na conscientização dos funcionários.

Use os recursos nas seções a seguir para saber mais sobre esses tópicos.

Segurança no Google Cloud

Saiba como configurar a estrutura da organização, a autenticação e a autorização, a hierarquia de recursos, a rede, a geração de registros, os controles de detecção e muito mais no blueprint de bases empresariais do Google Cloud, um dos guias da Central de práticas recomendadas de segurança do Google Cloud.

É possível conferir informações centralizadas sobre vulnerabilidades e possíveis riscos usando estes serviços do Google Cloud:

  • Confira informações sobre vulnerabilidades e ameaças em toda a organização do Google Cloud com o Security Command Center.
  • Receba informações sobre o uso do serviço com o Recommender, incluindo recomendações que podem ajudar a reduzir os riscos. Por exemplo, é possível identificar principais do IAM com permissões em excesso ou projetos não supervisionados do Google Cloud.

Para saber mais sobre a segurança no Google Cloud, consulte a seção de segurança do site do Google Cloud.

Práticas de DevOps e desenvolvimento de software

Consulte a documentação Capacidades do DevOps para saber mais sobre práticas de DevOps que contribuem para uma entrega de software mais rápida e um software mais confiável e seguro.

Também há práticas fundamentais para projetar, desenvolver e testar códigos que se aplicam a todas as linguagens de programação. Você também precisa avaliar como distribui o software e os termos das licenças de software em todas as dependências. A Linux Foundation oferece treinamentos on-line gratuitos sobre estes temas:

Como desenvolver suas políticas

À medida que você implementa as práticas recomendadas de forma incremental, documente as políticas da organização e incorpore a validação delas aos processos de desenvolvimento, build e implantação. Por exemplo, as políticas da empresa podem incluir critérios de implantação que você implementa com a Autorização binária.