評估安全防護機制

安全狀態是指機構偵測、回應及補救威脅的能力。包括整個軟體生命週期中,機構人員、硬體、軟體、政策和流程的準備情況。

您可以使用多種架構和工具評估安全防護機制,以及瞭解如何減輕威脅。

軟體推送做法

如要打造強大的安全防護機制,必須以軟體交付最佳做法為基礎,而這些做法不只是導入工具和技術控管措施。舉例來說,如果變更核准程序不明確,不必要的變更就更容易進入軟體供應鏈。如果團隊不願提出問題,可能會猶豫是否要回報安全性疑慮。

開發運作研究與評估 (DORA) 針對高效能技術團隊的做法和能力進行獨立研究。如要評估團隊的成效,並瞭解改善方式,請使用下列 DORA 資源:

  • 歡迎參加 DORA 開發運作快速檢驗,快速瞭解貴機構與其他機構的比較結果。
  • 瞭解 DORA 提出的開發運作技術、程序、評估和文化功能

安全防護機制架構

美國國家標準暨技術研究院安全軟體開發架構 (SSDF) 和網路安全評估架構 (CAF) 是政府開發的架構,可協助機構評估安全機制,並降低供應鏈威脅。這些架構會考量軟體開發生命週期,以及與軟體安全相關的其他層面,例如事件應變計畫。這些架構的複雜度和範圍可能需要投入大量時間和資源。

軟體構件供應鏈級別 (SLSA) 是一項架構,旨在讓評估和緩解措施的實作方式更平易近人,並逐步完成。這份指南說明供應鏈威脅和相關的緩解措施,並提供可實作緩解措施的工具範例。此外,這項功能還會將強化安全狀態的規定分級,方便您決定優先順序並逐步實作變更。SLSA 主要著重於軟體交付管道,因此您應搭配使用 SSDF 和 CAF 等其他評估工具。

SLSA 的靈感來自 Google 內部的 Borg 適用的二進位授權,這是 Google 所有實際工作環境工作負載的強制執行檢查。

Google Cloud 提供模組化功能和工具,並納入 SLSA 的最佳做法。您可以查看安全狀態的深入分析,包括建構作業的 SLSA 等級。

構件和依附元件管理

瞭解軟體中的安全漏洞,有助於在向客戶發布應用程式前,主動回應並修正潛在威脅。您可以使用下列工具,進一步瞭解安全漏洞。

安全漏洞掃描
弱點掃描服務 (例如 構件分析) 可協助您找出軟體中已知的弱點。
依附元件管理

Open Source Insights 集中提供開放原始碼軟體相關資訊,包括依附元件圖表、已知安全漏洞和授權。您可以使用這個網站瞭解依附元件。

開放原始碼洞察專案也提供這項資料做為Google Cloud 資料集。您可以使用 BigQuery 探索及分析資料。

原始碼控管政策

評量表是一項自動化工具,可識別 GitHub 專案中存在風險的軟體供應鏈做法。

Allstar 是一項 GitHub 應用程式,可持續監控 GitHub 機構或存放區,確保符合設定的政策。舉例來說,您可以對 GitHub 機構套用政策,檢查是否有機構外部的協作者具備管理員或推送存取權。

如要進一步瞭解如何管理依附元件,請參閱「依附元件管理」一文。

團隊的網路安全意識

如果團隊瞭解軟體供應鏈威脅和最佳做法,就能設計及開發更安全的應用程式。

在《2021 年網路安全狀態第 2 部分》中,受訪的資訊安全專業人員表示,網路安全訓練和意識計畫對員工意識產生了正面影響 (46%) 或強烈正面影響 (32%)。

下列資源可協助您進一步瞭解供應鏈安全性和 Google Cloud安全性:

為異動預做準備

找出要進行的變更後,您需要規劃這些變更。

  • 找出最佳做法和因應措施,提升供應鏈的可靠性和安全性。

  • 制定指南和政策,確保團隊落實變更並持續評估法規遵循情形。舉例來說,貴公司的政策可能包含部署條件,您可透過二進位授權實作這些條件。下列資源可提供協助:

  • 規劃增量變更,以減少每項變更的大小、複雜度和影響。此外,團隊成員也能適應各項變更、提供意見回饋,並將學到的經驗應用於日後的變更。

下列資源可協助您規劃及實作變更。

後續步驟