Aqua Security et le Center for Internet Security (CIS) ont publié ensemble les premières directives formelles de l’industrie pour la sécurité de la chaîne d’approvisionnement des logiciels.
Développé grâce à la collaboration entre les deux organisations, le Guide de sécurité de la chaîne d’approvisionnement des logiciels CIS fournit plus de 100 recommandations fondamentales qui peuvent être appliquées sur une variété de technologies et de plates-formes couramment utilisées.
De plus, Aqua Security a dévoilé un nouvel outil open source, Chain-Bench, qui est le premier et le seul outil d’audit de la chaîne d’approvisionnement logicielle pour assurer la conformité aux nouvelles directives CIS.
Bien que les menaces pesant sur la chaîne d’approvisionnement logicielle continuent d’augmenter, des études montrent que la sécurité dans les environnements de développement reste faible. Les nouvelles directives établissent les meilleures pratiques générales qui prennent en charge les normes émergentes clés telles que les niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et le cadre de mise à jour (TUF), tout en ajoutant des recommandations fondamentales pour la définition et l’audit des configurations sur les plates-formes prises en charge par Benchmark.
Dans le guide, les recommandations couvrent cinq catégories de la chaîne d’approvisionnement logicielle, y compris le code source, les pipelines de construction, les dépendances, les artefacts et le déploiement.
CIS a l’intention d’étendre ces conseils à des références CIS plus spécifiques afin de créer des recommandations de sécurité cohérentes sur toutes les plates-formes. Comme pour toutes les directives du CIS, le guide sera publié et révisé à l’échelle mondiale. Les commentaires aideront à garantir que les futures directives spécifiques à la plate-forme sont exactes et pertinentes.
“En publiant le Guide de sécurité de la chaîne d’approvisionnement du logiciel CIS, CIS et Aqua Security espèrent créer une communauté dynamique intéressée par le développement des conseils de référence spécifiques à la plate-forme à venir”, déclare Phil White, responsable de l’équipe de développement des références pour CIS.
“Tous les experts en la matière qui développent ou travaillent avec les technologies et les plates-formes qui composent la chaîne d’approvisionnement logicielle sont encouragés à se joindre à l’effort pour créer des références supplémentaires”, a-t-il déclaré.
“Leur expertise sera précieuse pour établir les meilleures pratiques essentielles pour faire progresser la sécurité de la chaîne d’approvisionnement logicielle pour tous.”
À ce jour, le guide a été révisé par des experts de CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat et d’autres entreprises technologiques de premier plan.
Pour aider les organisations à adopter les directives CIS, Aqua a publié Chain-Bench. Chain-Bench analyse la pile DevOps du code source au déploiement et simplifie la conformité aux réglementations de sécurité, aux normes et aux politiques internes pour garantir que les équipes peuvent mettre en œuvre de manière cohérente les contrôles de sécurité logicielle et les meilleures pratiques.
« La création de logiciels à grande échelle nécessite une gouvernance solide de la chaîne d’approvisionnement logicielle, et une gouvernance solide nécessite des outils efficaces. C’est là que nous avons vu une opportunité d’ajouter de la valeur », déclare Eylam Milner, directeur Argon Technology, Aqua Security.
“Nous voulions tirer parti de notre expertise en matière de sécurité de la chaîne d’approvisionnement logicielle pour aider à élaborer des conseils critiques pour l’un des défis les plus urgents de l’industrie, ainsi qu’un outil gratuit et accessible pour aider d’autres organisations à y adhérer”, dit-il.
“Le travail ne s’arrête pas là. Nous continuerons à travailler avec CIS pour affiner ces conseils, afin que les organisations du monde entier puissent bénéficier de pratiques de sécurité plus solides.”
