Ландшафт кибербезопасности быстро изменился, особенно после майского указа президента Байдена о кибербезопасности (EO 14028), который привлек внимание к обеспечению безопасности цепочек поставок программного обеспечения. Растущее внимание к защите цепочки поставок программного обеспечения побудило предприятия искать стратегии для соблюдения соответствующих требований, таких как управление рисками цепочки поставок программного обеспечения (SSCRM) и спецификации программного обеспечения (SBOM). Чтобы помочь организациям понять SSCRM и внедрить эффективные методы, мы определили 12 основных элементов успешной стратегии цепочки поставок программного обеспечения. Эти элементы учитывают весь жизненный цикл программного обеспечения, от создания до эксплуатации конечным пользователем, и подчеркивают вклад различных заинтересованных сторон в обеспечение безопасности цепочки поставок. Обратите внимание, что порядок этих элементов не является иерархическим, а сгруппирован по их взаимосвязям.
Группа 1: Инвентаризация активов, SBOM и происхождение
Первая группа элементов связана с инвентаризацией активов, SBOM и происхождением программного обеспечения. ИТ- и операционные группы несут ответственность за поддержание точной инвентаризации программных ресурсов и связанных с ними зависимостей, что имеет решающее значение для быстрого исправления и реагирования на инциденты. Актуальный и полный SBOM с подробным описанием зависимостей каждого программного обеспечения необходим для анализа воздействия во время инцидентов безопасности, таких как раскрытие информации об уязвимостях.
Группа 2: Обеспечение безопасности среды разработки и аттестация целостности
Вторая группа элементов включает в себя защиту сред разработки, подтверждение целостности выпущенного программного обеспечения и понимание возможных проблем с качеством или безопасностью в программном продукте. Группа разработчиков приложений и их приверженность процессам DevSecOps или безопасного жизненного цикла разработки программного обеспечения (SDLC) в первую очередь определяют эти обязанности. Защита среды разработки жизненно важна для обеспечения целостности и функциональности любых создаваемых артефактов.
Группа 3: Соответствие нормативным требованиям и лицензированию, неожиданная функциональность
Третий набор элементов охватывает несоблюдение нормативных и лицензионных требований, а также непредвиденные функциональные возможности, содержащиеся в программном продукте. И закупщики, и конечные пользователи, загружающие или использующие программное обеспечение, должны внимательно относиться к этим вопросам. Несоблюдение требует особого внимания, так как несоблюдение одного атрибута может привести к серьезным последствиям.
Группа 4: Политика управления и отчетность
Последняя пара элементов связана с определением политики управления и отчетностью. Внедряя эффективные бизнес-контроли и управление рисками для цепочек поставок программного обеспечения, организации могут снизить потенциальные риски по другим элементам. Контекст использования и границы риска также должны учитываться в процессе утверждения поставщиков, услуг и библиотек. Внедрение процесса управления рисками цепочки поставок программного обеспечения, соответствующего этим 12 элементам, может помочь компаниям опережать возникающие угрозы и нормативные требования. SSCRM не ограничивается созданием или запросом SBOM, а включает в себя полный набор обязанностей и методов для заинтересованных сторон в жизненном цикле программного обеспечения.
С AppMaster предприятия малого и среднего бизнеса получат выгоду от более доступного и эффективного подхода к созданию безопасных серверных, веб-приложений и мобильных приложений. Платформа AppMaster no-code сводит к минимуму техническую задолженность, позволяя быстро реагировать на меняющиеся требования при сохранении надежных стандартов безопасности. Интегрируя 12 элементов подходящего SSCRM в рабочие процессы разработки бизнес-приложений, заинтересованные стороны могут внести свой вклад в общую защищенную цепочку поставок программного обеспечения.
