Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa documentazione si concentra principalmente sulle best practice che supportano la protezione del tuo software tra processi e sistemi nella catena di fornitura del software. Include inoltre informazioni su come implementare alcune delle pratiche su
Google Cloud.
Esistono ulteriori considerazioni per proteggere il software che coprono il ciclo di vita del software o sono pratiche di sviluppo di base che supportano la sicurezza della catena di fornitura del software. Ad esempio:
Controllo dell'accesso fisico e remoto ai sistemi.
Implementazione di meccanismi di controllo, monitoraggio e feedback per poter identificare e rispondere rapidamente alle minacce e alla mancata conformità ai criteri.
Pratiche di programmazione di base, tra cui progettazione, convalida dell'input, output in sistemi non attendibili, elaborazione dei dati, analisi del codice e crittografia.
Pratiche DevOps di base diverse da quelle menzionate in questa documentazione, tra cui approcci tecnici, processi di gruppo e cultura organizzativa.
Rispetto dei termini delle licenze software, incluse le licenze open source per le dipendenze dirette e transitive.
Alcune licenze open source hanno termini restrittivi che sono problematici per il software commerciale. In particolare, alcune licenze richiedono di rilasciare il codice sorgente con la stessa licenza del software open source che stai riutilizzando. Se vuoi mantenere privato il codice sorgente, è importante conoscere i termini delle licenze del software open source che utilizzi.
Aumentare la consapevolezza sulla cybersicurezza offrendo formazione ai dipendenti.
Secondo lo State of Cybersecurity 2021, Part 2, un sondaggio tra professionisti della sicurezza delle informazioni, l'ingegneria sociale è stata la forma di attacco più frequente. Gli intervistati hanno inoltre riferito che i programmi di formazione e sensibilizzazione sulla cybersecurity hanno avuto un impatto positivo (46%) o molto positivo (32%) sulla consapevolezza dei dipendenti.
Per scoprire di più su questi argomenti, utilizza le risorse riportate nelle sezioni seguenti.
Puoi visualizzare informazioni centralizzate su vulnerabilità e possibili rischi utilizzando questi Google Cloud servizi:
Visualizza informazioni su vulnerabilità e minacce nella tua Google Cloud
organizzazione con Security Command Center.
Ricevi informazioni sull'utilizzo del servizio con Recommender, inclusi consigli che possono aiutarti a ridurre i rischi. Ad esempio,
puoi identificare entità IAM con autorizzazioni in eccesso o
progetti Google Cloud non attendibili.
Consulta la documentazione relativa alle funzionalità DevOps per scoprire di più sulle pratiche DevOps che contribuiscono a una distribuzione del software più rapida e a un software più affidabile e sicuro.
Esistono anche pratiche di base per la progettazione, lo sviluppo e il test del codice che si applicano a tutti i linguaggi di programmazione. Devi anche valutare come distribuisci il software e i termini delle licenze software in tutte le dipendenze. The Linux Foundation offre formazione online gratuita su questi argomenti:
Sviluppo di software sicuro: pratiche di sviluppo di software di base nel contesto della sicurezza della catena di fornitura del software. Il corso si concentra sulle best practice per la progettazione, lo sviluppo e il testing del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni per la distribuzione e il deployment del software.
La formazione è stata creata dalla Open Source Security Foundation (OpenSSF).
Man mano che implementi le best practice in modo incrementale, documenta le norme per la tua organizzazione e incorpora la convalida delle norme nelle procedure di sviluppo, compilazione e implementazione. Ad esempio, i criteri della tua azienda potrebbero includere i criteri per il deployment che implementi con l'autorizzazione binaria.
Minimum Viable Secure Product, un elenco di controllo dei controlli di sicurezza per stabilire una security posture di base per un prodotto. Puoi utilizzare l'elenco di controllo per stabilire i requisiti minimi di controllo della sicurezza e valutare il software di fornitori di terze parti.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Protect your software supply chain\n\nThis documentation focuses primarily on best practices that support protecting\nyour software across processes and systems in your software supply chain. It\nalso includes information about how to implement some of the practices on\nGoogle Cloud.\n\n- [Safeguarding source integrity](/software-supply-chain-security/docs/safeguard-source)\n- [Safeguarding build integrity](/software-supply-chain-security/docs/safeguard-builds)\n- [Managing dependencies](/software-supply-chain-security/docs/dependencies)\n- [Safeguarding deployments](/software-supply-chain-security/docs/safeguard-deploys)\n\nThere are additional considerations for protecting your software that span the\nsoftware lifecycle or are foundational development practices that support\nsoftware supply chain security. For example:\n\n- Controlling physical and remote access to systems.\n- Implementing audit, monitoring, and feedback mechanisms so that you are able to quickly identify and respond to threats and non-compliance with policy.\n- Foundational coding practices including design, input validation, output to untrusted systems, data processing, code analysis, and cryptography.\n- Foundational DevOps practices beyond ones mentioned in this documentation, including technical approaches, team process, and organizational culture.\n- Adherence to software licenses terms, including open source licenses for\n direct and transitive dependencies.\n\n Some open source licenses have restrictive license terms that are problematic\n for commercial software. In particular, some licenses require you to release\n your source code under the same license as the open source software that you\n are reusing. If you want to keep your source code private, it's important\n to know the licenses terms of open source software you use.\n- Increasing awareness about cybersecurity by providing training to employees.\n According the [State of Cybersecurity 2021, Part 2](https://www.isaca.org/state-of-cybersecurity-2021), a survey of\n information security professionals, social engineering was the most frequent\n type of attack. Survey respondants also reported that cybersecurity training\n and awareness programs had some positive impact (46%) or strong positive\n impact (32%) on employee awareness.\n\nUse the resources in the following sections to learn more about these topics.\n\nSecurity on Google Cloud\n------------------------\n\nLearn about setting up organization structure, authentication and authorization,\nresource hierarchy, networking, logging, detective controls, and more in the\n[Google Cloud enterprise foundations blueprint](/architecture/security-foundations), one of\nthe guides in the\n[Google Cloud security best practices center](/security/best-practices).\n\nYou can view centralized information about vulnerabilities and possible\nrisks using these Google Cloud services:\n\n- View information about vulnerabilities and threats across your Google Cloud organization with [Security Command Center](/security-command-center/docs/security-command-center-overview).\n- Get information about your service usage with [Recommender](/recommender/docs/overview), including recommendations that can help you to reduce risk. For example, you can identify IAM principals with excess permissions or unattended Google Cloud projects.\n\nTo learn more about security on Google Cloud, see the\n[Security section of the Google Cloud web site](/security).\n\nDevOps and software development practices\n-----------------------------------------\n\nSee the [DevOps capabilities](https://dora.dev/devops-capabilities/)\ndocumentation to learn more about DevOps practices that contribute to faster\nsoftware delivery and more reliable and secure software.\n\nThere are also foundational practices for designing, developing, and testing\ncode that apply to all programming languages. You also need to evaluate how\nyou distribute software and the terms of software licenses in all of your\ndependencies. The Linux Foundation offers free online training on these topics:\n\n- [Developing Secure Software](https://training.linuxfoundation.org/training/developing-secure-software-lfd121/): Foundational software development practices in the context of software supply chain security. The course focuses on best practices for designing, developing, and testing code, but also covers topics such as handling vulnerability disclosures, assurance cases, and considerations for software distribution and deployment. The [Open Source Security Foundation](https://openssf.org/) (OpenSSF) created the training.\n- [Open Source Licensing Basics for Developers](https://training.linuxfoundation.org/training/open-source-licensing-basics-for-software-developers/) Learn about licenses and copyright for open source projects.\n- [Introduction to Open Source License Compliance Management](https://training.linuxfoundation.org/training/introduction-to-open-source-license-compliance-management-lfc193/) Learn about building an open source compliance program for your organization.\n\nDeveloping your policies\n------------------------\n\nAs you incrementally implement best practices, document the policies for your\norganization and incorporate validation of policies into your development,\nbuild, and deployment processes. For example, your company policies might\ninclude criteria for deployment that you implement with [Binary Authorization](/binary-authorization/docs/overview).\n\n- [Minimum Viable Secure Product](https://mvsp.dev), a security checklist of controls to establish a baseline security posture for a product. You can use the checklist to establish your minimum security control requirements and to evaluate software by third-party vendors.\n- NIST [Security and Privacy Controls for Information Systems and Organizations](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) publication (SP 800-53)."]]
