Aqua Security ve CIS, yazılım tedarik zinciri güvenliği için ilk resmi yönergeleri yayınladı


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. Bilgili görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


Bugün, bulut yerel güvenlik sağlayıcısı, Su Güvenliği ve İnternet Güvenliği Merkezi (CIS), yazılım tedarik zinciri güvenliği için ilk resmi yönergeleri yayınladı. Yeni CIS Yazılım Tedarik Zinciri Güvenliği Kılavuzu Tedarik zincirini tehdit aktörlerine karşı güvence altına almak için işletmelere 100’den fazla temel öneri sunar.

Yeni yönergeler, yazılım tedarik zincirini beş temel alana ayırabilir; Kaynak Kodu, Ardışık Düzenler, Bağımlılıklar, Yapılar ve Dağıtım.

Aqua Security ve CIS, her kategori için yönergeleri kodlayarak, açık kaynaklı yazılım risklerini azaltmak için endüstri çapında en iyi uygulamaları ve önerileri oluşturmayı ve Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) ve Güncelleme Çerçevesi (TUF) dahil olmak üzere yeni standartları desteklemeyi amaçlıyor. ).

Aqua Security ayrıca bugün yeni bir açık kaynak aracının piyasaya sürüldüğünü duyurdu. Zincir-Benchişletmelerin tedarik zincirini CISA yönergelerine uygun olarak denetlemek için kullanabileceği.

Tedarik zinciri güvenliğini herkese getirmek

Bu sürüm, geçen yılın Kasım ayında keşfinden bu yana Log4Shell’in neden olduğu kesintinin ardından açık kaynak tedarik zincirini güvence altına almak için daha geniş bir hareketin parçası olarak geliyor.

Geriye dönüp bakıldığında, güvenlik açığının neden olduğu yaygın güvenlik açıkları, açık kaynaklı yazılımların güvenilirliğine ilişkin endişeleri ön plana çıkarmıştır.

Şimdi Araştırma BT liderlerinin %95’inin Log4Shell’in bulut güvenliği için bir uyandırma çağrısı olduğunu söylediğini ve %87’sinin bugün bulut güvenliği konusunda olay öncesine göre daha az güvende hissettiklerini kabul ettiğini gösteriyor.

Sektör genelindeki bu güven eksikliği, kuruluşları, tescilli yazılım satıcılarını ve açık kaynak projelerini, açık kaynak çözümlerinde bulunan güvenlik sorunlarını belirlemek ve azaltmak için bir işbirliği durumuna sürükledi.

Sektördeki en dikkate değer işbirliklerinden biri bu yılın başlarında gerçekleşti. Açık Kaynak Yazılım Güvenliği Zirvesi II Linux Vakfı ve Açık Kaynak Yazılım Güvenliği Vakfı (OpenSSF), tedarik zinciri güvenliğinin uygulanmasına yatırım yapmak için 37 şirketi bir araya getirdiğinde.

Aqua Security ve CIS’in açık kaynak güvenlik hareketindeki rolü

CIS ve Aqua Security’nin CIS Yazılım Tedarik Zinciri Güvenlik Kılavuzu’nu yayınlaması, kuruluşların kendi ortamlarında dağıttığı açık kaynak araçlarını yönetmek ve denetlemek için bir dizi kodlanmış standart belirlemek için sektörde yeni bir işbirliğine işaret ediyor.

Aqua Security ve CIS’in yazılım tedarik zincirindeki güvenlik sorunlarını hafifletmek için yeni yaklaşımlar keşfetmek için birlikte çalışacakları başka kuruluşlar aradıkları için bunun izole bir ortaklık olmadığını da belirtmek önemlidir.

Benchmark’ın CIS geliştirme ekibi yöneticisi Phil White, “CIS Yazılım Tedarik Zinciri Güvenliği kılavuzunu yayınlayarak, CIS ve Aqua Security, platforma özel Benchmark kılavuzunu geliştirmekle ilgilenen canlı bir topluluk oluşturmayı umuyor” dedi.

“Yazılım tedarik zincirini oluşturan teknolojiler ve platformlar geliştiren veya bunlarla çalışan herhangi bir konu uzmanı, ek kriterler oluşturma çabalarına katılmaya teşvik ediliyor. White, “Bu uzmanlık, herkes için yazılım tedarik zinciri güvenliğini geliştirmek için kritik en iyi uygulamaları oluşturmak için değerli olacaktır” dedi.

Yazılım tedarik zinciri güvenlik araçları

Açık kaynak güvenliği konusundaki endişelerin artması, açık kaynak teknolojilerindeki güvenlik açıklarını gidermek için tasarlanmış bir çözüm dalgasının ortaya çıkmasına neden oldu.

Örneğin, Snykkod, açık kaynak bağımlılıkları, kapsayıcılar ve altyapıdaki güvenlik açıklarını kod olarak otomatik olarak tarayabilen bir geliştirici güvenlik platformu sağlar.

Geçen yıl, Snyk’in 530 milyon dolar topladığı ve değerleme 8.5 milyar dolar.

Benzer bir yaklaşım benimseyen başka bir sağlayıcı sonatipkuruluşların açık kaynaklı tedarik zincirindeki riskleri azaltabilmeleri için açık kaynaklı yazılımdaki riskleri otomatik olarak belirleyen kod analizi sunabilen bir yazılım tedarik zinciri güvenlik aracıdır.

Bu yılın başında Sonatype, 100 milyon dolar topladığını duyurdu. yıllık yinelenen gelir.
Diğer taraftan, Yasal Güvenlik, ağın bilinmeyen, yanlış yapılandırılmış ve savunmasız bileşenlerini ortaya çıkarmak için yazılım varlıklarının görsel bir envanterini oluşturmak için otomatik SDLC keşfini kullanarak güvenlik açığı taramasıyla tedarik zincirinin güvenliğini sağlamaya yardımcı oluyor. Bu yılın başında, Legit Security 30 milyon dolarlık fon sağladığını açıkladı.

Aqua Security ve CIS, yazılım tedarik zinciri güvenliği için ilk resmi yönergeleri yayınladı

Bugün, bulut yerel güvenlik sağlayıcısı, Su Güvenliği ve İnternet Güvenliği Merkezi (CIS), yazılım tedarik zinciri güvenliği için ilk resmi yönergeleri yayınladı. Yeni CIS Yazılım Tedarik Zinciri Güvenliği Kılavuzu Tedarik zincirini tehdit aktörlerine karşı güvence altına almak için işletmelere 100’den fazla temel öneri sunar.

Yeni yönergeler, yazılım tedarik zincirini beş temel alana ayırabilir; Kaynak Kodu, Ardışık Düzenler, Bağımlılıklar, Yapılar ve Dağıtım.

Aqua Security ve CIS, her kategori için yönergeleri kodlayarak, açık kaynaklı yazılım risklerini azaltmak için endüstri çapında en iyi uygulamaları ve önerileri oluşturmayı ve Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) ve Güncelleme Çerçevesi (TUF) dahil olmak üzere yeni standartları desteklemeyi amaçlıyor. ).

Aqua Security ayrıca bugün yeni bir açık kaynak aracının piyasaya sürüldüğünü duyurdu. Zincir-Benchişletmelerin tedarik zincirini CISA yönergelerine uygun olarak denetlemek için kullanabileceği.

Tedarik zinciri güvenliğini herkese getirmek

Bu sürüm, geçen yılın Kasım ayında keşfinden bu yana Log4Shell’in neden olduğu kesintinin ardından açık kaynak tedarik zincirini güvence altına almak için daha geniş bir hareketin parçası olarak geliyor.

Geriye dönüp bakıldığında, güvenlik açığının neden olduğu yaygın güvenlik açıkları, açık kaynaklı yazılımların güvenilirliğine ilişkin endişeleri ön plana çıkarmıştır.

Şimdi Araştırma BT liderlerinin %95’inin Log4Shell’in bulut güvenliği için bir uyandırma çağrısı olduğunu söylediğini ve %87’sinin bugün bulut güvenliği konusunda olay öncesine göre daha az güvende hissettiklerini kabul ettiğini gösteriyor.

Sektör genelindeki bu güven eksikliği, kuruluşları, tescilli yazılım satıcılarını ve açık kaynak projelerini, açık kaynak çözümlerinde bulunan güvenlik sorunlarını belirlemek ve azaltmak için bir işbirliği durumuna sürükledi.

Sektördeki en dikkate değer işbirliklerinden biri bu yılın başlarında gerçekleşti. Açık Kaynak Yazılım Güvenliği Zirvesi II Linux Vakfı ve Açık Kaynak Yazılım Güvenliği Vakfı (OpenSSF), tedarik zinciri güvenliğinin uygulanmasına yatırım yapmak için 37 şirketi bir araya getirdiğinde.

Aqua Security ve CIS’in açık kaynak güvenlik hareketindeki rolü

CIS ve Aqua Security’nin CIS Yazılım Tedarik Zinciri Güvenlik Kılavuzu’nu yayınlaması, kuruluşların kendi ortamlarında dağıttığı açık kaynak araçlarını yönetmek ve denetlemek için bir dizi kodlanmış standart belirlemek için sektörde yeni bir işbirliğine işaret ediyor.

Aqua Security ve CIS’in yazılım tedarik zincirindeki güvenlik sorunlarını hafifletmek için yeni yaklaşımlar keşfetmek için birlikte çalışacakları başka kuruluşlar aradıkları için bunun izole bir ortaklık olmadığını da belirtmek önemlidir.

Benchmark’ın CIS geliştirme ekibi yöneticisi Phil White, “CIS Yazılım Tedarik Zinciri Güvenliği kılavuzunu yayınlayarak, CIS ve Aqua Security, platforma özel Benchmark kılavuzunu geliştirmekle ilgilenen canlı bir topluluk oluşturmayı umuyor” dedi.

“Yazılım tedarik zincirini oluşturan teknolojiler ve platformlar geliştiren veya bunlarla çalışan herhangi bir konu uzmanı, ek kriterler oluşturma çabalarına katılmaya teşvik ediliyor. White, “Bu uzmanlık, herkes için yazılım tedarik zinciri güvenliğini geliştirmek için kritik en iyi uygulamaları oluşturmak için değerli olacaktır” dedi.

Açık kaynak güvenliği konusundaki endişelerin artması, açık kaynak teknolojilerindeki güvenlik açıklarını gidermek için tasarlanmış bir çözüm dalgasının ortaya çıkmasına neden oldu.

Örneğin, Snykkod, açık kaynak bağımlılıkları, kapsayıcılar ve altyapıdaki güvenlik açıklarını kod olarak otomatik olarak tarayabilen bir geliştirici güvenlik platformu sağlar.

Geçen yıl, Snyk’in 530 milyon dolar topladığı ve değerleme 8.5 milyar dolar.

Benzer bir yaklaşım benimseyen başka bir sağlayıcı sonatipkuruluşların açık kaynaklı tedarik zincirindeki riskleri azaltabilmeleri için açık kaynaklı yazılımdaki riskleri otomatik olarak belirleyen kod analizi sunabilen bir yazılım tedarik zinciri güvenlik aracıdır.

Bu yılın başında Sonatype, 100 milyon dolar topladığını duyurdu. yıllık yinelenen gelir.
Diğer taraftan, Yasal Güvenlik, ağın bilinmeyen, yanlış yapılandırılmış ve savunmasız bileşenlerini ortaya çıkarmak için yazılım varlıklarının görsel bir envanterini oluşturmak için otomatik SDLC keşfini kullanarak güvenlik açığı taramasıyla tedarik zincirinin güvenliğini sağlamaya yardımcı oluyor. Bu yılın başında, Legit Security 30 milyon dolarlık fon sağladığını açıkladı.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Üyelik hakkında daha fazla bilgi edinin.


Kaynak : https://venturebeat.com/2022/06/22/software-supply-chain-security/

Yorum yapın