BOSTON— 22 Haziran 2022 — Su Güvenliğiönde gelen saf bulut yerel güvenlik sağlayıcısı ve bağlı dünyada güven yaratma misyonuna sahip bağımsız, kar amacı gütmeyen bir kuruluş olan İnternet Güvenliği Merkezi (CIS), bugün endüstrinin yazılım tedarik zinciri güvenliği için ilk resmi yönergelerini yayınladı. İki kuruluş arasındaki işbirliği ile geliştirilen, CIS Yazılım Tedarik Zinciri Güvenliği Kılavuzu yaygın olarak kullanılan çeşitli teknolojiler ve platformlarda uygulanabilecek 100’den fazla temel öneri sağlar. Ayrıca Aqua Security, yeni bir açık kaynak aracı tanıttı. Zincir-Benchyeni CIS yönergelerine uygunluğu sağlamak için yazılım tedarik zincirini denetlemek için ilk ve tek araçtır.
Yazılım Tedarik Zinciri Güvenliği için En İyi Uygulamaların Oluşturulması
Yazılım tedarik zincirine yönelik tehditler artmaya devam etse de, çalışmalar gösteriyor geliştirme ortamları genelinde güvenliğin düşük seviyede kalması. Yeni yönergeler, Benchmark destekli platformlarda yapılandırmaları ayarlamak ve denetlemek için temel öneriler eklerken, Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) ve Güncelleme Çerçevesi (TUF) gibi ortaya çıkan önemli standartları destekleyen genel en iyi uygulamaları belirler.
Kılavuzda öneriler, Kaynak Kodu, Yapı Hatları, Bağımlılıklar, Yapılar ve Dağıtım dahil olmak üzere yazılım tedarik zincirinin beş kategorisini kapsar (genel bakış içeren blog bağlantısı).
CIS, platformlar arasında tutarlı güvenlik önerileri oluşturmak için bu kılavuzu daha spesifik CIS Kıyaslamalarına genişletmeyi amaçlamaktadır. Tüm BDT kılavuzlarında olduğu gibi, kılavuz küresel olarak yayınlanacak ve gözden geçirilecektir. Geri bildirim, gelecekteki platforma özel rehberliğin doğru ve alakalı olmasını sağlamaya yardımcı olacaktır.
“CIS Yazılım Tedarik Zinciri Güvenlik Kılavuzunu yayınlayarak, CIS ve Aqua Security bir
CIS için Benchmarks Geliştirme Ekibi Yöneticisi Phil White, “Gelecek platforma özel Benchmark kılavuzunu geliştirmekle ilgilenen canlı bir topluluk” dedi. “Yazılım tedarik zincirini oluşturan teknolojiler ve platformlar geliştiren veya bunlarla çalışan herhangi bir konu uzmanı, ek kriterler oluşturma çabalarına katılmaya teşvik ediliyor. Uzmanlıkları, herkes için yazılım tedarik zinciri güvenliğini geliştirmek için kritik en iyi uygulamaları oluşturmak için değerli olacaktır.”
Kılavuz bugüne kadar CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat ve diğer önde gelen teknoloji firmalarındaki uzmanlar tarafından gözden geçirildi.
Axonius Siber Güvenlik Ürün Müdürü Ofir Shapira: “Aqua’nın sadece bir şirket olarak değil, daha geniş bir topluluk için yazılım tedarik zinciri güvenliği etrafında yaptığı çalışma, daha güvenli yazılım sürümlerinin yolunu açıyor.”
Önde gelen dijital ödeme organizasyonu Siber ve Uygulama Güvenliği Mimarı Erez Dasa: “Bu yönergeleri geliştirme süreçleri üzerinde uygulamak, sürümlerin güvenliği konusunda bize çok daha fazla güven veriyor.”
Yazılım Tedarik Zinciri Güvenliği için Sektörün İlk Açık Kaynak Aracı
Aqua, CIS kılavuzunu benimseyen kuruluşları desteklemek için Chain-Bench’i piyasaya sürdü. Chain-Bench, DevOps yığınını kaynak kodundan dağıtıma kadar tarar ve ekiplerin yazılım güvenlik kontrollerini ve en iyi uygulamaları tutarlı bir şekilde uygulayabilmesini sağlamak için güvenlik düzenlemeleri, standartları ve dahili politikalarla uyumluluğu basitleştirir.
“Ölçekli ölçekte yazılım oluşturmak, yazılım tedarik zincirinin güçlü bir şekilde yönetilmesini gerektirir ve güçlü yönetişim, etkili araçlar gerektirir. Aqua Security Argon Teknoloji Direktörü Elam Milner, “Bu noktada değer katma fırsatı gördük” dedi. “Sektörün en acil sorunlarından biri için kritik rehberlik oluşturmaya yardımcı olmak için yazılım tedarik zinciri güvenliğindeki uzmanlığımızdan ve diğer kuruluşların buna bağlı kalmasına yardımcı olacak ücretsiz, erişilebilir bir araçtan yararlanmak istedik. İş burada bitmiyor. Dünya çapındaki kuruluşların daha güçlü güvenlik uygulamalarından yararlanabilmeleri için bu kılavuzu iyileştirmek için CIS ile birlikte çalışmaya devam edeceğiz.”
CIS Yazılım Tedarik Zinciri Güvenliği Kılavuzu hakkında daha fazla bilgi edinmek için, CIS WorkBench’i ziyaret edin. Chain-Bench’i indirmek için şu adresi ziyaret edin: GitHub.
Internet Security, Inc. Merkezi (CIS®) Hakkında
Center for Internet Security, Inc. (CIS®), temel işbirliği ve yenilik yetkinliklerimiz aracılığıyla bağlantılı dünyayı insanlar, işletmeler ve hükümetler için daha güvenli bir yer haline getirir. BT sistemleri ve verilerinin güvenliğini sağlamak için dünya çapında tanınan en iyi uygulamalar olan CIS Critical Security Controls® ve CIS Benchmarks™’tan sorumlu, topluluk odaklı, kâr amacı gütmeyen bir kuruluşuz. Bu standartları sürekli olarak geliştirmeye ve ortaya çıkan tehditlere karşı proaktif olarak korunmak için ürünler ve hizmetler sağlamaya yönelik küresel bir BT uzmanları topluluğuna liderlik ediyoruz. CIS Hardened Images®, bulutta güvenli, isteğe bağlı, ölçeklenebilir bilgi işlem ortamları sağlar. CIS, ABD Eyaleti, Yerel, Kabile ve Bölgesel (SLTT) devlet kurumları için siber tehdit önleme, koruma, müdahale ve kurtarma için güvenilir kaynak olan Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi®’ne (MS-ISAC®) ev sahipliği yapmaktadır. ve ABD seçim ofislerinin hızla değişen siber güvenlik ihtiyaçlarını destekleyen Seçim Altyapısı Bilgi Paylaşım ve Analiz Merkezi® (EI-ISAC®). Daha fazla bilgi edinmek için CISecurity.org adresini ziyaret edin veya bizi Twitter’da takip edin: @CISecurity.
Su Güvenliği Hakkında
Aqua Security, bulut yerel saldırılarını durdurur. Öncü ve en büyük bulut tabanlı güvenlik şirketi olarak Aqua, müşterilerin yeniliğin kilidini açmasına ve işletmelerinin geleceğini inşa etmesine yardımcı olur. Aqua Platform, tüm uygulama yaşam döngüsünü önleme, algılama ve yanıtlama yoluyla güvence altına alan, endüstrinin en entegre Bulut Yerel Uygulama Koruma Platformudur (CNAPP). 2015 yılında kurulan Aqua’nın genel merkezi Boston, MA ve Ramat Gan, IL’dedir ve 40’tan fazla ülkede Fortune 1000 müşterisi bulunmaktadır. Daha fazla bilgi için ziyaret edin www.aquasec.com.
