Softwarelieferkette schützen

In dieser Dokumentation geht es hauptsächlich um Best Practices, die den Schutz Ihrer Software über alle Prozesse und Systeme in Ihrer Softwarelieferkette hinweg unterstützen. Außerdem finden Sie Informationen dazu, wie Sie einige der Praktiken aufGoogle Cloudimplementieren.

• Quellenintegrität schützen
• Integrität von Builds schützen
• Abhängigkeiten verwalten
• Bereitstellungen schützen

Es gibt zusätzliche Aspekte zum Schutz Ihrer Software, die den gesamten Softwarelebenszyklus umfassen oder grundlegende Entwicklungspraktiken sind, die die Sicherheit der Softwarelieferkette unterstützen. Beispiel:

• Kontrolle des physischen und Remotezugriffs auf Systeme.
• Implementieren Sie Prüf-, Überwachungs- und Feedbackmechanismen, damit Sie Bedrohungen und Verstöße gegen Richtlinien schnell erkennen und darauf reagieren können.
• Grundlegende Programmierpraktiken wie Design, Eingabevalidierung, Ausgabe an nicht vertrauenswürdige Systeme, Datenverarbeitung, Codeanalyse und Kryptografie.
• Weitere grundlegende DevOps-Praktiken, die nicht in dieser Dokumentation erwähnt werden, einschließlich technischer Ansätze, Teamprozesse und Organisationskultur.

• Einhaltung der Bedingungen von Softwarelizenzen, einschließlich Open-Source-Lizenzen für direkte und transitive Abhängigkeiten.

  Einige Open-Source-Lizenzen haben restriktive Lizenzbedingungen, die für kommerzielle Software problematisch sind. Insbesondere müssen Sie bei einigen Lizenzen Ihren Quellcode unter derselben Lizenz veröffentlichen wie die Open-Source-Software, die Sie wiederverwenden. Wenn Sie Ihren Quellcode vertraulich halten möchten, ist es wichtig, die Lizenzbedingungen der von Ihnen verwendeten Open-Source-Software zu kennen.

• Sensibilisierung für Cybersicherheit durch Schulungen für Mitarbeiter. Laut der Umfrage „State of Cybersecurity 2021, Part 2“, einer Umfrage unter Experten für Informationssicherheit, war Social Engineering die häufigste Art von Angriff. Die Umfrageteilnehmer gaben außerdem an, dass Schulungen und Sensibilisierungsprogramme für die Cybersicherheit die Mitarbeiter in gewissem Maße (46%) oder stark (32%) für das Thema sensibilisiert haben.

In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Themen.

Sicherheit auf Google Cloud

Weitere Informationen zum Einrichten von Organisationsstruktur, Authentifizierung und Autorisierung, Ressourcenhierarchie, Netzwerken, Protokollierung, Aufdeckungskontrollen und mehr finden Sie im Google Cloud Enterprise Foundations-Blueprint, einem der Leitfäden im Google Cloud Center für Sicherheits-Best Practices.

Sie können zentralisierte Informationen zu Sicherheitslücken und möglichen Risiken mithilfe der folgenden Google Cloud Dienste abrufen:

• Im Security Command Center finden Sie Informationen zu Sicherheitslücken und Bedrohungen in Ihrer Google Cloud Organisation.
• Mit Recommender erhalten Sie Informationen zur Nutzung Ihrer Dienste, einschließlich Empfehlungen, mit denen Sie das Risiko reduzieren können. So können Sie beispielsweise IAM-Hauptkonten mit zu vielen Berechtigungen oder unbeaufsichtigte Google Cloud -Projekte ermitteln.

Weitere Informationen zur Sicherheit bei Google Cloudfinden Sie im Abschnitt „Sicherheit“ der Google Cloud -Website.

DevOps- und Softwareentwicklungspraktiken

In der Dokumentation zu DevOps-Ressourcen erfahren Sie mehr über DevOps-Praktiken, die zu einer schnelleren Softwarebereitstellung und zuverlässigerer und sichererer Software beitragen.

Es gibt auch grundlegende Praktiken zum Entwerfen, Entwickeln und Testen von Code, die für alle Programmiersprachen gelten. Außerdem müssen Sie prüfen, wie Sie Software vertreiben und welche Bedingungen für Softwarelizenzen in allen Ihren Abhängigkeiten gelten. Die Linux Foundation bietet kostenlose Onlineschulungen zu folgenden Themen an:

• Entwicklung sicherer Software: Grundlegende Praktiken der Softwareentwicklung im Kontext der Sicherheit der Softwarelieferkette. Der Kurs konzentriert sich auf Best Practices für das Entwerfen, Entwickeln und Testen von Code, deckt aber auch Themen wie den Umgang mit Offenlegungen von Sicherheitslücken, Assurance-Fälle und Aspekte der Softwareverteilung und -bereitstellung ab. Die Open Source Security Foundation (OpenSSF) hat das Training entwickelt.
• Grundlagen der Open-Source-Lizenzierung für Entwickler: Informationen zu Lizenzen und Urheberrecht für Open-Source-Projekte.
• Einführung in die Verwaltung der Compliance mit Open-Source-Lizenzen: Hier erfahren Sie, wie Sie ein Open-Source-Compliance-Programm für Ihre Organisation erstellen.

Richtlinien entwickeln

Dokumentieren Sie die Richtlinien für Ihre Organisation, während Sie Best Practices schrittweise implementieren, und integrieren Sie die Validierung von Richtlinien in Ihre Entwicklungs-, Build- und Bereitstellungsprozesse. Ihre Unternehmensrichtlinien können beispielsweise Kriterien für die Bereitstellung enthalten, die Sie mit der Binärautorisierung implementieren.

• Minimum Viable Secure Product: Eine Sicherheitscheckliste mit Steuerelementen, um einen grundlegenden Sicherheitsstatus für ein Produkt festzulegen. Mit der Checkliste können Sie Ihre Mindestanforderungen an die Sicherheitskontrolle festlegen und Software von Drittanbietern bewerten.
• NIST-Veröffentlichung Security and Privacy Controls for Information Systems and Organizations (SP 800-53)