Aqua Security travaille avec Internet Security Center pour développer un guide de sécurité de la chaîne d’approvisionnement logicielle

BOSTON – 22 juin 2022 – Aqua Security, l’un des principaux fournisseurs de sécurité cloud pour les jeux propres, et le Center for Internet Security (CIS) indépendant à but non lucratif, dont la mission est d’instaurer la confiance dans un monde connecté, ont publié aujourd’hui les premières directives officielles de l’industrie pour la chaîne d’approvisionnement logicielle. Sécurité. Développé en collaboration avec les deux organisations Guide de sécurité de la chaîne d’approvisionnement du logiciel CIS propose plus de 100 recommandations clés pouvant être appliquées à de nombreuses technologies et plates-formes couramment utilisées. De plus, Aqua Security a dévoilé le nouvel outil open source Chain-Bench, le premier et le seul outil permettant d’auditer la chaîne d’approvisionnement logicielle afin de garantir la conformité aux nouvelles directives CIS.

Établir les meilleures pratiques en matière de sécurité de la chaîne d’approvisionnement logicielle

Bien que les menaces pesant sur la chaîne d’approvisionnement logicielle continuent de croître, les recherches montrent que la sécurité des environnements de développement reste faible. Les nouvelles directives établissent les meilleures pratiques générales qui prennent en charge les normes émergentes clés telles que les niveaux de la chaîne d’approvisionnement des artefacts logiciels (SLSA) et le cadre de mise à jour (TUF), tout en ajoutant des recommandations clés pour la configuration et l’audit des configurations sur les plates-formes prises en charge.

Les recommandations du guide couvrent cinq catégories de la chaîne d’approvisionnement logicielle, y compris le code source, la construction de convoyeurs, les dépendances, les artefacts et le déploiement (un aperçu du lien du blog).

Le CIS a l’intention d’étendre ces directives à des références CIS plus spécifiques afin de fournir des recommandations de sécurité à l’échelle de la plate-forme. Comme toutes les lignes directrices du CIS, le guide est publié et révisé dans le monde entier. Les commentaires aideront à garantir que les futures directives spécifiques à la plate-forme sont exactes et pertinentes.

“CIS et Aqua Security espèrent créer un guide de sécurité de la chaîne d’approvisionnement des logiciels CIS

une communauté dynamique intéressée par le développement de futures directives d’analyse comparative basées sur la plate-forme », a déclaré Phil White, responsable de l’équipe de développement de l’analyse comparative de CIS. “Tous les experts dans le domaine qui développent ou exploitent des technologies et des plates-formes dans la chaîne d’approvisionnement logicielle sont encouragés à unir leurs efforts pour développer des références supplémentaires. Leurs connaissances sont précieuses dans la création de meilleures pratiques essentielles pour promouvoir la sécurité de la chaîne d’approvisionnement logicielle pour tous.

À ce jour, le guide a été révisé par des experts du CIS, d’Aqua Security, d’Axonius, de PayPal, de CyberArk, de Red Hat et d’autres sociétés technologiques de premier plan.

Ofir Shapira, chef de produit Axonus Cyber ​​​​Security : “Le travail d’Aqua dans la sécurité de la chaîne d’approvisionnement logicielle, non seulement en tant qu’entreprise mais aussi pour la communauté au sens large, ouvre la voie à des versions logicielles plus sécurisées.”

Erez Dasa, Cyber ​​​​and Application Security Architect, une organisation de paiement numérique de premier plan : “La mise en œuvre de ces directives dans nos processus de développement nous donne beaucoup plus confiance dans la sécurité de nos publications.”

Le premier outil open source du secteur pour la sécurité de la chaîne d’approvisionnement logicielle

Aqua a publié le Chain-Bench pour aider les organisations à adopter les directives CIS. Chain-Bench analyse la pile DevOps de la source au déploiement et simplifie la conformité aux règles de sécurité, aux normes et aux politiques internes afin que les équipes puissent appliquer de manière cohérente les contrôles de sécurité logicielle et les meilleures pratiques.

“Le développement de logiciels à grande échelle nécessite une gestion solide de la chaîne d’approvisionnement des logiciels, et une gestion solide nécessite des outils efficaces. Ici, nous avons vu une opportunité de créer de la valeur ajoutée », a déclaré Eylam Milner, directeur d’Aqua Security Argon Technology. “Nous voulions utiliser nos connaissances en matière de sécurité de la chaîne d’approvisionnement logicielle pour aider à développer des conseils critiques pour l’un des défis les plus urgents de l’industrie, ainsi qu’un outil d’accès gratuit pour aider d’autres organisations à s’y tenir. Le travail ne s’arrête pas là. Nous’ Nous continuerons à travailler avec CIS pour affiner ces conseils afin que les organisations du monde entier puissent bénéficier de pratiques de sécurité renforcées.

Pour plus d’informations sur le Guide de sécurité de la chaîne d’approvisionnement du logiciel CIS, visitez CIS WorkBench. Pour télécharger Chain-Bench, visitez GitHub.

Centre d’information pour la sécurité Internet, Inc. (CIS®)

Centre pour la sécurité Internet, Inc. (CIS®) fait d’un monde connecté un endroit plus sûr pour les personnes, les entreprises et les gouvernements grâce à nos compétences de base en matière de collaboration et d’innovation. Nous sommes une organisation à but non lucratif dirigée par la communauté responsable de CIS Critical Security Controls® et CIS Benchmarks ™, une meilleure pratique mondialement reconnue en matière de sécurité des systèmes informatiques et des données. Nous dirigeons une communauté mondiale de professionnels de l’informatique pour développer continuellement ces normes et fournir des produits et services pour nous protéger contre les menaces émergentes. Nos CIS Hardened Images® fournissent un environnement informatique sécurisé et évolutif à la demande. Le CIS abrite le Multi-State Information Sharing and Analysis Center® (MS-ISAC®), une ressource de confiance pour la prévention, la protection, la réponse et la récupération des cybermenaces pour les États américains, les gouvernements locaux, tribaux et territoriaux ( SLTT). , et le Elections Infrastructure Information Sharing and Analysis Center® (EI-ISAC®), qui prend en charge l’évolution rapide des besoins en cybersécurité des bureaux électoraux américains. Pour plus d’informations, rendez-vous sur CISecurity.org ou suivez-nous sur Twitter : @CISecurity.

À propos d’Aqua Sécurité

Aqua Security arrête les attaques basées sur le cloud. En tant que pionnière et plus grande entreprise de sécurité basée sur le cloud, Aqua aide ses clients à libérer l’innovation et à créer l’avenir de leur entreprise. Aqua Platform est la plate-forme de protection des applications cloud natives (CNAPP) la plus intégrée du secteur, offrant un cycle de vie complet des applications grâce à la prévention, la détection et la réponse. Fondée en 2015, Aqua a son siège social à Boston (MA) et Ramat Gan (IL) et compte des clients Fortune 1 000 dans plus de 40 pays. Pour plus d’informations, visitez www.aquasec.com.

Leave a Comment