Aqua Security و CIS اولین دستورالعمل های رسمی را برای امنیت زنجیره تامین نرم افزار منتشر می کنند


ما هیجان زده هستیم که Transform 2022 را به صورت حضوری در 19 ژوئیه و تقریباً 20 تا 28 ژوئیه بازگردانیم. برای گفتگوهای روشنگر و فرصت های شبکه هیجان انگیز به رهبران هوش مصنوعی و داده بپیوندید. امروز ثبت نام کنید!


امروز، ارائه‌دهنده امنیت بومی ابر، Aqua Security و مرکز امنیت اینترنت (CIS) اولین دستورالعمل‌های رسمی را برای امنیت زنجیره تامین نرم‌افزار منتشر کردند. راهنمای امنیت زنجیره تامین نرم افزار CIS جدید بیش از 100 توصیه اساسی برای ایمن سازی زنجیره تامین در برابر عوامل تهدید به شرکت ها ارائه می دهد.

دستورالعمل های جدید می تواند زنجیره تامین نرم افزار را به پنج حوزه کلیدی تقسیم کند. کد منبع، خطوط لوله، وابستگی ها، مصنوعات و استقرار.

هدف Aqua Security و CIS با تدوین دستورالعمل‌ها برای هر دسته، ایجاد بهترین شیوه‌ها و توصیه‌های صنعتی برای کاهش خطرات نرم‌افزار منبع باز، و پشتیبانی از استانداردهای جدید از جمله سطوح زنجیره تامین برای مصنوعات نرم‌افزار (SLSA) و چارچوب به‌روزرسانی (TUF) است. ).

Aqua Security همچنین امروز راه اندازی یک ابزار منبع باز جدید به نام Chain-Bench را اعلام کرد که شرکت ها می توانند از آن برای ممیزی زنجیره تامین مطابق با دستورالعمل های CISA استفاده کنند.

تامین امنیت زنجیره تامین برای همه

انتشار به عنوان بخشی از یک حرکت گسترده تر برای ایمن سازی زنجیره تامین منبع باز، در پی اختلال ایجاد شده توسط Log4Shell از زمان کشف آن در نوامبر سال گذشته، انجام می شود.

با نگاهی به گذشته، آسیب‌پذیری‌های امنیتی گسترده ناشی از این آسیب‌پذیری، نگرانی‌ها را در مورد قابلیت اطمینان نرم‌افزار منبع باز مطرح کرد.

اکنون تحقیقات نشان می‌دهد که 95 درصد از رهبران فناوری اطلاعات می‌گویند Log4Shell زنگ خطری برای امنیت ابری است و 87 درصد اذعان کرده‌اند که امروز نسبت به قبل از این حادثه اعتماد کمتری نسبت به امنیت ابری خود دارند.

این عدم اطمینان در سطح صنعت، سازمان‌ها، فروشندگان نرم‌افزار اختصاصی و پروژه‌های منبع باز را به حالت همکاری برای شناسایی و کاهش مسائل امنیتی موجود در راه‌حل‌های منبع باز سوق داده است.

یکی از برجسته‌ترین همکاری‌ها در این صنعت در اوایل سال جاری در اجلاس امنیت نرم‌افزار منبع باز II رخ داد که بنیاد لینوکس و بنیاد امنیت نرم‌افزار منبع باز (OpenSSF) 37 شرکت را گرد هم آوردند تا در پیاده‌سازی امنیت زنجیره تامین سرمایه‌گذاری کنند.

نقش Aqua Security و CIS در جنبش امنیت منبع باز

انتشار راهنمای امنیت زنجیره تامین نرم‌افزار CIS و Aqua Security نشان‌دهنده یک همکاری جدید در صنعت برای تنظیم یک سری استانداردهای مدون برای مدیریت و ممیزی هر ابزار منبع باز است که شرکت‌ها در محیط خود مستقر می‌کنند.

توجه به این نکته مهم است که این یک مشارکت مجزا نیز نیست، زیرا Aqua Security و CIS هر دو به دنبال سازمان‌های دیگر برای همکاری برای کشف رویکردهای جدید برای کاهش مسائل امنیتی در زنجیره تامین نرم‌افزار هستند.

مدیر تیم توسعه معیار برای CIS، فیل وایت، گفت: «با انتشار راهنمای امنیت زنجیره تامین نرم‌افزار CIS، CIS و Aqua Security امیدوارند که جامعه‌ای پر جنب و جوش و علاقمند به توسعه دستورالعمل‌های معیار ویژه پلتفرم در آینده ایجاد کنند.

هر متخصص موضوعی که فناوری‌ها و پلتفرم‌هایی را که زنجیره تأمین نرم‌افزار را تشکیل می‌دهند توسعه داده یا با آنها کار می‌کنند، تشویق می‌شوند تا در ایجاد معیارهای اضافی به تلاش‌ها بپیوندند. وایت گفت: این تخصص برای ایجاد بهترین شیوه های حیاتی برای پیشبرد امنیت زنجیره تامین نرم افزار برای همه ارزشمند خواهد بود.

ابزارهای امنیتی زنجیره تامین نرم افزار

رشد نگرانی ها در مورد امنیت منبع باز منجر به موجی از راه حل ها شده است که برای رفع آسیب پذیری های فناوری های منبع باز طراحی شده اند.

به عنوان مثال، Snyk، یک پلتفرم امنیتی توسعه‌دهنده ارائه می‌کند که می‌تواند به‌طور خودکار آسیب‌پذیری‌های کد، وابستگی‌های منبع باز، کانتینرها و زیرساخت‌ها را به‌عنوان کد اسکن کند.

طبق گزارش ها، سال گذشته، اسنیک 530 میلیون دلار جمع آوری کرد و به ارزش 8.5 میلیارد دلاری دست یافت.

ارائه‌دهنده دیگری که رویکرد مشابهی را اتخاذ می‌کند Sonatype است، یک ابزار امنیتی زنجیره تامین نرم‌افزار که می‌تواند تجزیه و تحلیل کد ارائه دهد، خطرات را در نرم‌افزار منبع باز به طور خودکار شناسایی کند تا سازمان‌ها بتوانند خطرات را در زنجیره تامین منبع باز کاهش دهند.

در ابتدای سال جاری سوناتایپ اعلام کرد که 100 میلیون دلار درآمد مکرر سالانه به دست آورده است.
از سوی دیگر، Legit Security به ایمن سازی زنجیره تامین با اسکن آسیب پذیری با استفاده از کشف خودکار SDLC کمک می کند تا فهرستی بصری از دارایی های نرم افزار ایجاد کند تا اجزای ناشناخته، پیکربندی نادرست و آسیب پذیر شبکه را آشکار کند. در ابتدای سال جاری، لجیت سکیوریتی اعلام کرد که 30 میلیون دلار بودجه جمع آوری کرده است.

Aqua Security و CIS اولین دستورالعمل های رسمی را برای امنیت زنجیره تامین نرم افزار منتشر می کنند

امروز، ارائه‌دهنده امنیت بومی ابر، Aqua Security و مرکز امنیت اینترنت (CIS) اولین دستورالعمل‌های رسمی را برای امنیت زنجیره تامین نرم‌افزار منتشر کردند. راهنمای امنیت زنجیره تامین نرم افزار CIS جدید بیش از 100 توصیه اساسی برای ایمن سازی زنجیره تامین در برابر عوامل تهدید به شرکت ها ارائه می دهد.

دستورالعمل های جدید می تواند زنجیره تامین نرم افزار را به پنج حوزه کلیدی تقسیم کند. کد منبع، خطوط لوله، وابستگی ها، مصنوعات و استقرار.

هدف Aqua Security و CIS با تدوین دستورالعمل‌ها برای هر دسته، ایجاد بهترین شیوه‌ها و توصیه‌های صنعتی برای کاهش خطرات نرم‌افزار منبع باز، و پشتیبانی از استانداردهای جدید از جمله سطوح زنجیره تامین برای مصنوعات نرم‌افزار (SLSA) و چارچوب به‌روزرسانی (TUF) است. ).

Aqua Security همچنین امروز راه اندازی یک ابزار منبع باز جدید به نام Chain-Bench را اعلام کرد که شرکت ها می توانند از آن برای ممیزی زنجیره تامین مطابق با دستورالعمل های CISA استفاده کنند.

تامین امنیت زنجیره تامین برای همه

انتشار به عنوان بخشی از یک حرکت گسترده تر برای ایمن سازی زنجیره تامین منبع باز، در پی اختلال ایجاد شده توسط Log4Shell از زمان کشف آن در نوامبر سال گذشته، انجام می شود.

با نگاهی به گذشته، آسیب‌پذیری‌های امنیتی گسترده ناشی از این آسیب‌پذیری، نگرانی‌ها را در مورد قابلیت اطمینان نرم‌افزار منبع باز مطرح کرد.

اکنون تحقیقات نشان می‌دهد که 95 درصد از رهبران فناوری اطلاعات می‌گویند Log4Shell زنگ خطری برای امنیت ابری است و 87 درصد اذعان کرده‌اند که امروز نسبت به قبل از این حادثه اعتماد کمتری نسبت به امنیت ابری خود دارند.

این عدم اطمینان در سطح صنعت، سازمان‌ها، فروشندگان نرم‌افزار اختصاصی و پروژه‌های منبع باز را به حالت همکاری برای شناسایی و کاهش مسائل امنیتی موجود در راه‌حل‌های منبع باز سوق داده است.

یکی از برجسته‌ترین همکاری‌ها در این صنعت در اوایل سال جاری در اجلاس امنیت نرم‌افزار منبع باز II رخ داد که بنیاد لینوکس و بنیاد امنیت نرم‌افزار منبع باز (OpenSSF) 37 شرکت را گرد هم آوردند تا در پیاده‌سازی امنیت زنجیره تامین سرمایه‌گذاری کنند.

نقش Aqua Security و CIS در جنبش امنیت منبع باز

انتشار راهنمای امنیت زنجیره تامین نرم‌افزار CIS و Aqua Security نشان‌دهنده یک همکاری جدید در صنعت برای تنظیم یک سری استانداردهای مدون برای مدیریت و ممیزی هر ابزار منبع باز است که شرکت‌ها در محیط خود مستقر می‌کنند.

توجه به این نکته مهم است که این یک مشارکت مجزا نیز نیست، زیرا Aqua Security و CIS هر دو به دنبال سازمان‌های دیگر برای همکاری برای کشف رویکردهای جدید برای کاهش مسائل امنیتی در زنجیره تامین نرم‌افزار هستند.

مدیر تیم توسعه معیار برای CIS، فیل وایت، گفت: «با انتشار راهنمای امنیت زنجیره تامین نرم‌افزار CIS، CIS و Aqua Security امیدوارند که جامعه‌ای پر جنب و جوش و علاقمند به توسعه دستورالعمل‌های معیار ویژه پلتفرم در آینده ایجاد کنند.

هر متخصص موضوعی که فناوری‌ها و پلتفرم‌هایی را که زنجیره تأمین نرم‌افزار را تشکیل می‌دهند توسعه داده یا با آنها کار می‌کنند، تشویق می‌شوند تا در ایجاد معیارهای اضافی به تلاش‌ها بپیوندند. وایت گفت: این تخصص برای ایجاد بهترین شیوه های حیاتی برای پیشبرد امنیت زنجیره تامین نرم افزار برای همه ارزشمند خواهد بود.

رشد نگرانی ها در مورد امنیت منبع باز منجر به موجی از راه حل ها شده است که برای رفع آسیب پذیری های فناوری های منبع باز طراحی شده اند.

به عنوان مثال، Snyk، یک پلتفرم امنیتی توسعه‌دهنده ارائه می‌کند که می‌تواند به‌طور خودکار آسیب‌پذیری‌های کد، وابستگی‌های منبع باز، کانتینرها و زیرساخت‌ها را به‌عنوان کد اسکن کند.

طبق گزارش ها، سال گذشته، اسنیک 530 میلیون دلار جمع آوری کرد و به ارزش 8.5 میلیارد دلاری دست یافت.

ارائه‌دهنده دیگری که رویکرد مشابهی را اتخاذ می‌کند Sonatype است، یک ابزار امنیتی زنجیره تامین نرم‌افزار که می‌تواند تجزیه و تحلیل کد ارائه دهد، خطرات را در نرم‌افزار منبع باز به طور خودکار شناسایی کند تا سازمان‌ها بتوانند خطرات را در زنجیره تامین منبع باز کاهش دهند.

در ابتدای سال جاری سوناتایپ اعلام کرد که 100 میلیون دلار درآمد مکرر سالانه به دست آورده است.
از سوی دیگر، Legit Security به ایمن سازی زنجیره تامین با اسکن آسیب پذیری با استفاده از کشف خودکار SDLC کمک می کند تا فهرستی بصری از دارایی های نرم افزار ایجاد کند تا اجزای ناشناخته، پیکربندی نادرست و آسیب پذیر شبکه را آشکار کند. در ابتدای سال جاری، لجیت سکیوریتی اعلام کرد که 30 میلیون دلار بودجه جمع آوری کرده است.

ماموریت VentureBeat این است که یک میدان شهر دیجیتال برای تصمیم گیرندگان فنی باشد تا دانشی در مورد فناوری سازمانی متحول کننده کسب کنند و معامله کنند. کسب اطلاعات بیشتر در مورد عضویت.