Lindungi supply chain software Anda

Dokumentasi ini terutama berfokus pada praktik terbaik yang mendukung perlindungan software di seluruh proses dan sistem dalam supply chain software Anda. Artikel ini juga berisi informasi tentang cara menerapkan beberapa praktik di Google Cloud.

Ada pertimbangan tambahan untuk melindungi software Anda yang menjangkau siklus proses software atau merupakan praktik pengembangan dasar yang mendukung keamanan supply chain software. Contoh:

  • Mengontrol akses fisik dan jarak jauh ke sistem.
  • Menerapkan mekanisme audit, pemantauan, dan masukan sehingga Anda dapat dengan cepat mengidentifikasi dan merespons ancaman serta ketidakpatuhan terhadap kebijakan.
  • Praktik coding dasar termasuk desain, validasi input, output ke sistem yang tidak tepercaya, pemrosesan data, analisis kode, dan kriptografi.
  • Praktik DevOps dasar di luar yang disebutkan dalam dokumentasi ini, termasuk pendekatan teknis, proses tim, dan budaya organisasi.

  • Kepatuhan terhadap persyaratan lisensi software, termasuk lisensi open source untuk dependensi langsung dan transitif.

    Beberapa lisensi open source memiliki persyaratan lisensi yang terbatas yang bermasalah untuk software komersial. Secara khusus, beberapa lisensi mengharuskan Anda merilis kode sumber dengan lisensi yang sama dengan software open source yang Anda gunakan kembali. Jika ingin tetap merahasiakan kode sumber, Anda harus mengetahui persyaratan lisensi software open source yang Anda gunakan.

  • Meningkatkan kesadaran tentang pengamanan cyber dengan memberikan pelatihan kepada karyawan. Menurut State of Cybersecurity 2021, Bagian 2, survei terhadap para profesional keamanan informasi, manipulasi psikologis adalah jenis serangan yang paling sering terjadi. Responden survei juga melaporkan bahwa program pelatihan dan kesadaran pengamanan cyber memiliki dampak positif (46%) atau dampak positif yang kuat (32%) terhadap kesadaran karyawan.

Gunakan referensi di bagian berikut untuk mempelajari topik ini lebih lanjut.

Keamanan di Google Cloud

Pelajari cara menyiapkan struktur organisasi, autentikasi dan otorisasi, hierarki resource, networking, logging, kontrol detektif, dan banyak lagi di blueprint dasar-dasar Google Cloud Enterprise, yang merupakan salah satu panduan di pusat praktik terbaik keamanan Google Cloud.

Anda dapat melihat informasi terpusat tentang kerentanan dan kemungkinan risiko menggunakan layanan Google Cloud berikut:

  • Lihat informasi tentang kerentanan dan ancaman di seluruh organisasi Google Cloud Anda dengan Security Command Center.
  • Dapatkan informasi tentang penggunaan layanan Anda dengan Pemberi Rekomendasi, termasuk rekomendasi yang dapat membantu Anda mengurangi risiko. Misalnya, Anda dapat mengidentifikasi akun utama IAM dengan izin berlebih atau project Google Cloud tanpa pengawasan.

Untuk mempelajari keamanan di Google Cloud lebih lanjut, lihat bagian Keamanan di situs Google Cloud.

Praktik pengembangan software dan DevOps

Lihat dokumentasi Kemampuan DevOps untuk mempelajari lebih lanjut praktik DevOps yang berkontribusi pada pengiriman software yang lebih cepat serta software yang lebih andal dan aman.

Ada juga praktik dasar untuk mendesain, mengembangkan, dan menguji kode yang berlaku untuk semua bahasa pemrograman. Anda juga perlu mengevaluasi cara mendistribusikan software dan persyaratan lisensi software di semua dependensi Anda. Linux Foundation menawarkan pelatihan online gratis mengenai topik-topik berikut:

Mengembangkan kebijakan Anda

Saat Anda menerapkan praktik terbaik secara bertahap, dokumentasikan kebijakan untuk organisasi Anda dan sertakan validasi kebijakan ke dalam proses pengembangan, build, dan deployment Anda. Misalnya, kebijakan perusahaan Anda mungkin mencakup kriteria deployment yang diterapkan dengan Otorisasi Biner.