评估安全状况

安全状况是指组织检测、响应和修复威胁的能力。它包括组织在整个软件生命周期内人员、硬件、软件、政策和流程的准备情况。

您可以使用多种框架和工具来评估安全状况和确定缓解威胁的方法。

软件交付实践

要想拥有强大的安全态势,就需要在软件交付最佳实践方面打下坚实的基础,而这些实践不仅仅局限于实现工具和技术控制。例如,如果变更审批流程不明确,那么不需要的变更就更容易进入您的软件供应链。如果团队不愿提出问题,他们可能会犹豫不决地报告安全问题。

DevOps 研究和评估 (DORA) 对高绩效技术团队的做法和能力进行独立研究。如需评估团队的表现并了解改进方法,请使用以下 DORA 资源:

  • 您可以进行 DORA DevOps 快速检查,快速了解贵组织与其他组织相比的表现。
  • 了解 DORA 确定的 DevOps 技术、流程、衡量和文化能力

安全状况框架

NIST 安全软件开发框架 (SSDF) 和网络安全评估框架 (CAF) 是政府开发的框架,旨在帮助组织评估其安全状况并降低供应链威胁。这些框架会考虑软件开发生命周期以及与软件安全相关的其他方面,例如突发事件响应计划。鉴于这些框架的复杂性和范围,您可能需要投入大量时间和资源。

软件工件的供应链级别 (SLSA) 是一个框架,旨在使评估和缓解措施的实施更易于实现且更具增量性。该文档介绍了供应链威胁和相关缓解措施,并提供了实现缓解措施的工具示例。它还会将加强安全状况的要求分为多个级别,以便您确定优先级并逐步实施更改。SLSA 主要侧重于软件交付流水线,因此您应将其与 SSDF 和 CAF 等其他评估工具搭配使用。

SLSA 的灵感源自 Google 的内部 Binary Authorization for Borg,这是一项针对 Google 所有生产工作负载的强制性强制执行检查。

Google Cloud 提供了一组模块化功能和工具,这些功能和工具纳入了 SLSA 中的最佳实践。您可以查看有关安全状况的数据分析,包括 build 的 SLSA 级别。

工件和依赖项管理

通过了解软件中的漏洞,您可以在向客户发布应用之前主动响应和修复潜在威胁。您可以使用以下工具深入了解漏洞。

漏洞扫描
漏洞扫描服务(例如 Artifact Analysis)可帮助您发现软件中的已知漏洞。
依赖项管理

Open Source Insights 是一个集中的信息来源,可提供与开源软件相关的依赖项图、已知漏洞和许可信息。您可以访问该网站,了解自己的依赖项。

开源数据分析项目还将这些数据作为 Google Cloud Dataset 提供。您可以使用 BigQuery 探索和分析数据。

源代码控制政策

计分卡是一款自动化工具,可识别 GitHub 项目中存在的风险软件供应链做法。

Allstar 是一款 GitHub 应用,可持续监控 GitHub 组织或代码库是否遵守已配置的政策。例如,您可以对 GitHub 组织应用一项政策,以检查组织外部是否有拥有管理员权限或推送权限的协作者。

如需详细了解如何管理依赖项,请参阅依赖项管理

团队对网络安全的认识

如果您的团队了解软件供应链威胁和最佳实践,则可以设计和开发更安全的应用。

在面向信息安全专业人士开展的《2021 年网络安全状况报告(第 2 部分)》调查中,受访者表示,网络安全培训和宣传活动对员工的安全意识有一定积极影响(46%)或显著积极影响(32%)。

以下资源可帮助您详细了解供应链安全和 Google Cloud上的安全性:

为变更做好准备

确定要进行的更改后,您需要制定更改计划。

  • 了解有助于提高供应链可靠性和安全性的最佳实践和缓解措施。

  • 制定指南和政策,确保各团队一致地实施更改并衡量合规性。例如,您的公司政策可能包含您使用 Binary Authorization 实现的部署条件。以下资源可供您参考:

  • 规划增量更改,以缩减每项更改的大小、复杂性和影响。这还有助于团队成员适应每项变更、提供反馈,并将您从过往变更中总结出的经验教训应用到未来的变更中。

以下资源可帮助您规划和实施变更。

后续步骤