Esta documentação se concentra principalmente nas práticas recomendadas para proteger seu software nos processos e sistemas da cadeia de suprimentos de software. Ele também inclui informações sobre como implementar algumas das práticas no Google Cloud.
- Como proteger a integridade da origem
- Como proteger a integridade do build
- Como gerenciar dependências
- Como proteger as implantações
Há considerações adicionais para proteger seu software que abrangem o ciclo de vida do software ou que são práticas de desenvolvimento fundamentais que oferecem suporte à segurança da cadeia de suprimentos de software. Exemplo:
- Controle do acesso físico e remoto aos sistemas.
- Implementar mecanismos de auditoria, monitoramento e feedback para identificar e responder rapidamente a ameaças e não conformidades com a política.
- Práticas básicas de programação, incluindo design, validação de entrada, saída para sistemas não confiáveis, processamento de dados, análise de código e criptografia.
- Práticas fundamentais de DevOps além das mencionadas nesta documentação, incluindo abordagens técnicas, processo de equipe e cultura organizacional.
Adesão aos termos de licenças de software, incluindo licenças de código aberto para dependências diretas e transitivas.
Algumas licenças de código aberto têm termos de licença restritivos problemáticos para softwares comerciais. Especificamente, algumas licenças exigem que você libere o código-fonte sob a mesma licença do software de código aberto reutilizado. Se você quiser manter a privacidade do seu código-fonte, é importante conhecer os termos das licenças do software de código aberto usado.
Aumentar a conscientização sobre segurança cibernética oferecendo treinamento aos funcionários. De acordo com o State of Cybersecurity 2021, Parte 2 (em inglês), uma pesquisa feita por profissionais de segurança da informação, a engenharia social foi o tipo de ataque mais frequente. Os entrevistados também relataram que programas de treinamento e conscientização em segurança cibernética tiveram algum impacto positivo (46%) ou forte impacto positivo (32%) na conscientização dos funcionários.
Use os recursos nas seções a seguir para saber mais sobre esses tópicos.
Segurança no Google Cloud
Saiba como configurar a estrutura organizacional, a autenticação e a autorização, a hierarquia de recursos, a rede, a geração de registros, os controles de detecção e muito mais no Blueprint de bases empresariais do Google Cloud, um dos guias na Central de práticas recomendadas de segurança do Google Cloud.
É possível visualizar informações centralizadas sobre vulnerabilidades e possíveis riscos usando estes serviços do Google Cloud:
- Veja informações sobre vulnerabilidades e ameaças em toda a organização do Google Cloud com o Security Command Center.
- Receba informações sobre o uso do serviço com o Recomendador, incluindo recomendações que podem ajudar a reduzir riscos. Por exemplo, é possível identificar principais do IAM com permissões excessivas ou projetos autônomos do Google Cloud.
Para saber mais sobre segurança no Google Cloud, consulte a seção "Segurança" do site do Google Cloud.
DevOps e práticas de desenvolvimento de software
Consulte a documentação sobre recursos de DevOps para saber mais sobre as práticas de DevOps que contribuem para entrega de software mais rápida e software mais confiável e seguro.
Há também práticas básicas para projetar, desenvolver e testar códigos que se aplicam a todas as linguagens de programação. Você também precisa avaliar como distribui o software e os termos das licenças de software em todas as suas dependências. A Linux Foundation oferece treinamentos on-line gratuitos nestes tópicos:
- Developing Secure Software: práticas fundamentais de desenvolvimento de software no contexto da segurança da cadeia de suprimentos de software. O curso se concentra nas práticas recomendadas para projetar, desenvolver e testar código, mas também aborda tópicos como gerenciamento de divulgações de vulnerabilidade, casos de garantia e considerações para distribuição e implantação de software. A Open Source Security Foundation (OpenSSF) criou o treinamento.
- Princípios básicos do licenciamento de código aberto para desenvolvedores Saiba mais sobre licenças e direitos autorais para projetos de código aberto.
- Introdução ao gerenciamento de conformidade de licença de código aberto Saiba como criar um programa de conformidade de código aberto para sua organização.
Como desenvolver suas políticas
À medida que você implementar as práticas recomendadas de forma incremental, documente as políticas da organização e incorpore a validação delas nos processos de desenvolvimento, criação e implantação. Por exemplo, as políticas da empresa podem incluir critérios de implantação implementados com a autorização binária.
- Mínimo Viável Produto Seguro, uma lista de verificação de segurança de controles para estabelecer uma postura de segurança básica para um produto. Use a lista de verificação para estabelecer os requisitos mínimos de controle de segurança e avaliar o software de fornecedores terceirizados.
- Publicação do NIST Controles de segurança e privacidade para sistemas de informação e organizações (SP 800-53).