Aujourd’hui, le fournisseur de sécurité cloud natif, Aqua Security et Center for Internet Security (CIS) a publié les toutes premières directives formelles pour la sécurité de la chaîne d’approvisionnement des logiciels. Le nouveau Guide de sécurité de la chaîne d’approvisionnement des logiciels CIS fournit aux entreprises plus de 100 recommandations fondamentales pour sécuriser le chaîne d’approvisionnement contre les acteurs de la menace.
Les nouvelles directives peuvent décomposer la chaîne d’approvisionnement des logiciels en cinq domaines clés ; Code source, pipelines de construction, dépendances, artefacts et déploiement.
En codifiant des directives pour chaque catégorie, Aqua Security et CIS visent à établir les meilleures pratiques et recommandations à l’échelle de l’industrie pour atténuer les risques liés aux logiciels open source, et à prendre en charge de nouvelles normes, notamment les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et The Update. Cadre (TUF).
Aqua Security a également annoncé aujourd’hui le lancement d’un nouvel outil open source appelé Chain- Bench, que les entreprises peuvent utiliser pour auditer la chaîne d’approvisionnement conformément aux directives CISA.
Apporter la sécurité de la chaîne d’approvisionnement à tous
La publication s’inscrit dans le cadre d’un mouvement plus large visant à sécuriser la chaîne d’approvisionnement open source, à la suite de la perturbation causée par Log4Shell depuis sa découverte en novembre de l’année dernière.
Avec le recul, les vulnérabilités de sécurité généralisées causées par la vulnérabilité mise au premier plan concernent la fiabilité des logiciels open source.
Maintenant recherche montre que 95 % des responsables informatiques déclarent que Log4Shell a été un signal d’alarme pour la sécurité du cloud, et 87 % admettent qu’ils se sentent moins confiants quant à la sécurité de leur cloud aujourd’hui qu’avant l’incident.
Ce manque de confiance à l’échelle de l’industrie a conduit les organisations, les fournisseurs de logiciels propriétaires et les projets open source à un état de collaboration, afin d’identifier et d’atténuer les problèmes de sécurité présents dans les solutions open source.
L’une des collaborations les plus remarquables de l’industrie s’est produite plus tôt cette année au Open Source Software Security Summit II lorsque la Linux Foundation et l’Open Source Software Security Foundation (OpenSSF) se sont réunies 37 entreprises vont investir dans la mise en œuvre de la sécurité de la chaîne d’approvisionnement.
Rôle d’Aqua Security et de CIS dans le mouvement de sécurité open source
La publication par CIS et Aqua Security du Guide de sécurité de la chaîne d’approvisionnement logicielle CIS marque une nouvelle collaboration dans l’industrie pour définir une série de normes codifiées pour gérer et auditer tous les outils open source que les entreprises déploient dans leurs environnements.
Il est important de noter qu’il ne s’agit pas non plus d’un partenariat isolé, Aqua Security et CIS recherchant tous deux d’autres organisations avec lesquelles travailler pour découvrir de nouvelles approches pour atténuer les problèmes de sécurité dans la chaîne d’approvisionnement des logiciels.
« En publiant le guide CIS Software Supply Chain Security, CIS et Aqua Security espèrent créer une communauté dynamique intéressée par le développement des conseils Benchmark spécifiques à la plate-forme à venir », a déclaré Phil White, responsable de l’équipe de développement de benchmark pour CIS,
« Tous les experts en la matière qui développent ou travaillent avec les technologies et les plates-formes qui composent la chaîne d’approvisionnement des logiciels sont encouragés à se joindre à l’effort pour créer des références supplémentaires. Cette expertise sera précieuse pour établir les meilleures pratiques essentielles pour faire progresser la sécurité de la chaîne d’approvisionnement logicielle pour tous », a déclaré White.
Outils de sécurité de la chaîne d’approvisionnement logicielle
La croissance des préoccupations concernant la sécurité open source a conduit à l’apparition d’une vague de solutions conçues pour remédier aux vulnérabilités des technologies open source.
Par exemple, Snyk, fournit une plate-forme de sécurité pour les développeurs qui peut rechercher automatiquement les vulnérabilités dans code, les dépendances open source, les conteneurs et l’infrastructure en tant que code.
L’année dernière, Snyk aurait levé 530 millions de dollars et réalisé un valorisation de 8,5 milliards de dollars.
Un autre fournisseur adoptant une approche similaire est Sonatype, un outil logiciel de sécurité de la chaîne d’approvisionnement qui peut offrir une analyse de code, identifiant automatiquement les risques dans les logiciels open source afin que les organisations puissent atténuer les risques dans la chaîne d’approvisionnement open source.
Au début de cette année, Sonatype a annoncé avoir levé 100 millions de dollars en revenus récurrents annuels.
D’autre part, Legit Security, aide à sécuriser l’approvisionnement chaîne avec analyse des vulnérabilités à l’aide de la découverte SDLC automatisée, pour créer un inventaire visuel des actifs logiciels afin de révéler les composants inconnus, mal configurés et vulnérables du réseau. Au début de cette année, Legit Security a annoncé qu’elle avait levé 30 millions de dollars de financement.
Aujourd’hui, le fournisseur de sécurité cloud natif, Aqua Security et Center for Internet Security (CIS) a publié les toutes premières directives formelles pour la sécurité de la chaîne d’approvisionnement des logiciels. Le nouveau Guide de sécurité de la chaîne d’approvisionnement des logiciels CIS fournit aux entreprises plus de 100 recommandations fondamentales pour sécuriser le chaîne d’approvisionnement contre les acteurs de la menace.
Les nouvelles directives peuvent décomposer la chaîne d’approvisionnement des logiciels en cinq domaines clés ; Code source, pipelines de construction, dépendances, artefacts et déploiement.
En codifiant des directives pour chaque catégorie, Aqua Security et CIS visent à établir les meilleures pratiques et recommandations à l’échelle de l’industrie pour atténuer les risques liés aux logiciels open source, et à prendre en charge de nouvelles normes, notamment les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et The Update. Cadre (TUF).
Aqua Security a également annoncé aujourd’hui le lancement d’un nouvel outil open source appelé Chain- Bench, que les entreprises peuvent utiliser pour auditer la chaîne d’approvisionnement conformément aux directives CISA.
Apporter la sécurité de la chaîne d’approvisionnement à tous
La publication s’inscrit dans le cadre d’un mouvement plus large visant à sécuriser la chaîne d’approvisionnement open source, à la suite de la perturbation causée par Log4Shell depuis sa découverte en novembre de l’année dernière.
Avec le recul, les vulnérabilités de sécurité généralisées causées par la vulnérabilité mise au premier plan concernent la fiabilité des logiciels open source.
Maintenant recherche montre que 95 % des responsables informatiques déclarent que Log4Shell a été un signal d’alarme pour la sécurité du cloud, et 87 % admettent qu’ils se sentent moins confiants quant à la sécurité de leur cloud aujourd’hui qu’avant l’incident.
Ce manque de confiance à l’échelle de l’industrie a conduit les organisations, les fournisseurs de logiciels propriétaires et les projets open source à un état de collaboration, afin d’identifier et d’atténuer les problèmes de sécurité présents dans les solutions open source.
L’une des collaborations les plus remarquables de l’industrie s’est produite plus tôt cette année au Open Source Software Security Summit II lorsque la Linux Foundation et l’Open Source Software Security Foundation (OpenSSF) se sont réunies 37 entreprises vont investir dans la mise en œuvre de la sécurité de la chaîne d’approvisionnement.
Rôle d’Aqua Security et de CIS dans le mouvement de sécurité open source
La publication par CIS et Aqua Security du Guide de sécurité de la chaîne d’approvisionnement logicielle CIS marque une nouvelle collaboration dans l’industrie pour définir une série de normes codifiées pour gérer et auditer tous les outils open source que les entreprises déploient dans leurs environnements.
Il est important de noter qu’il ne s’agit pas non plus d’un partenariat isolé, Aqua Security et CIS recherchant tous deux d’autres organisations avec lesquelles travailler pour découvrir de nouvelles approches pour atténuer les problèmes de sécurité dans la chaîne d’approvisionnement des logiciels.
« En publiant le guide CIS Software Supply Chain Security, CIS et Aqua Security espèrent créer une communauté dynamique intéressée par le développement des conseils Benchmark spécifiques à la plate-forme à venir », a déclaré Phil White, responsable de l’équipe de développement de benchmark pour CIS,
« Tous les experts en la matière qui développent ou travaillent avec les technologies et les plates-formes qui composent la chaîne d’approvisionnement des logiciels sont encouragés à se joindre à l’effort pour créer des références supplémentaires. Cette expertise sera précieuse pour établir les meilleures pratiques essentielles pour faire progresser la sécurité de la chaîne d’approvisionnement logicielle pour tous », a déclaré White.
La croissance des préoccupations concernant la sécurité open source a conduit à l’apparition d’une vague de solutions conçues pour remédier aux vulnérabilités des technologies open source.
Par exemple, Snyk, fournit une plate-forme de sécurité pour les développeurs qui peut rechercher automatiquement les vulnérabilités dans code, les dépendances open source, les conteneurs et l’infrastructure en tant que code.
L’année dernière, Snyk aurait levé 530 millions de dollars et réalisé un valorisation de 8,5 milliards de dollars.
Un autre fournisseur adoptant une approche similaire est Sonatype, un outil logiciel de sécurité de la chaîne d’approvisionnement qui peut offrir une analyse de code, identifiant automatiquement les risques dans les logiciels open source afin que les organisations puissent atténuer les risques dans la chaîne d’approvisionnement open source.
Au début de cette année, Sonatype a annoncé avoir levé 100 millions de dollars en revenus récurrents annuels.
D’autre part, Legit Security, aide à sécuriser l’approvisionnement chaîne avec analyse des vulnérabilités à l’aide de la découverte SDLC automatisée, pour créer un inventaire visuel des actifs logiciels afin de révéler les composants inconnus, mal configurés et vulnérables du réseau. Au début de cette année, Legit Security a annoncé qu’elle avait levé 30 millions de dollars de financement.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. En savoir plus sur l’adhésion.
.