Protéger votre chaîne d'approvisionnement logicielle

Cette documentation se concentre principalement sur les bonnes pratiques qui permettent de protéger vos logiciels dans les processus et systèmes de votre chaîne d'approvisionnement logicielle. Il explique également comment mettre en œuvre certaines de ces pratiques sur Google Cloud.

• Protéger l'intégrité des sources
• Protéger l'intégrité des builds
• Gérer les dépendances
• Protéger les déploiements

D'autres considérations sont à prendre en compte pour protéger vos logiciels, qui couvrent le cycle de vie des logiciels ou qui sont des pratiques de développement fondamentales qui favorisent la sécurité de la chaîne d'approvisionnement logicielle. Exemple :

• Contrôler l'accès physique et à distance aux systèmes
• Implémenter des mécanismes d'audit, de surveillance et de commentaires afin de pouvoir identifier et traiter rapidement les menaces et les cas de non-respect des règles.
• Pratiques de codage de base, y compris la conception, la validation des entrées, la sortie vers des systèmes non approuvés, le traitement des données, l'analyse du code et la cryptographie.
• Pratiques DevOps fondamentales au-delà de celles mentionnées dans cette documentation, y compris les approches techniques, le processus en équipe et la culture organisationnelle.

• Respect des conditions d'utilisation des licences logicielles, y compris des licences Open Source pour les dépendances directes et indirectes.

  Certaines licences Open Source comportent des conditions de licence restrictives qui posent problème pour les logiciels commerciaux. En particulier, certaines licences vous obligent à publier votre code source sous la même licence que le logiciel Open Source que vous réutilisez. Si vous souhaitez conserver votre code source privé, il est important de connaître les conditions des licences des logiciels Open Source que vous utilisez.

• Sensibiliser les employés à la cybersécurité en leur proposant des formations Selon l'État de la cybersécurité 2021, partie 2, une enquête auprès de professionnels de la sécurité de l'information, l'ingénierie sociale était le type d'attaque le plus fréquent. Les personnes interrogées ont également indiqué que les programmes de formation et de sensibilisation à la cybersécurité avaient un impact positif (46%) ou un impact positif important (32%) sur la sensibilisation des employés.

Pour en savoir plus sur ces sujets, consultez les ressources des sections suivantes.

Sécurité sur Google Cloud

Découvrez comment configurer la structure organisationnelle, l'authentification et l'autorisation, la hiérarchie des ressources, la mise en réseau, la journalisation, les contrôles de détection et plus encore dans le plan de base d'entreprise de Google Cloud, l'un des guides du centre des bonnes pratiques de sécurité Google Cloud.

Vous pouvez consulter des informations centralisées sur les failles et les risques potentiels à l'aide des services Google Cloud suivants:

• Consultez des informations sur les failles et les menaces dans votre organisation Google Cloud avec Security Command Center.
• Obtenez des informations sur votre utilisation des services avec l'outil de recommandation, y compris des recommandations qui peuvent vous aider à réduire les risques. Par exemple, vous pouvez identifier les principaux IAM disposant d'autorisations excessives ou les projets Google Cloud non surveillés.

Pour en savoir plus sur la sécurité dans Google Cloud, consultez la section "Sécurité" du site Web de Google Cloud.

DevOps et pratiques de développement logiciel

Consultez la documentation sur les capacités DevOps pour en savoir plus sur les pratiques DevOps qui contribuent à une livraison de logiciels plus rapide, plus fiable et plus sécurisée.

Il existe également des pratiques fondamentales de conception, de développement et de test du code qui s'appliquent à tous les langages de programmation. Vous devez également évaluer la manière dont vous distribuez les logiciels et les conditions des licences logicielles dans toutes vos dépendances. The Linux Foundation propose des formations en ligne gratuites sur les sujets suivants:

• Developing Secure Software (Développer des logiciels sécurisés) : pratiques de base de développement logiciel dans le contexte de la sécurité de la chaîne d'approvisionnement logicielle. Ce cours se concentre sur les bonnes pratiques de conception, de développement et de test du code, mais aborde également des sujets tels que la gestion des divulgations de failles, les cas d'assurance et les considérations concernant la distribution et le déploiement de logiciels. La Open Source Security Foundation (OpenSSF) a créé cette formation.
• Principes de base des licences Open Source pour les développeurs En savoir plus sur les licences et les droits d'auteur pour les projets Open Source
• Présentation de la gestion de la conformité des licences Open Source Découvrez comment créer un programme de conformité Open Source pour votre organisation.

Élaborer vos règles

À mesure que vous implémentez progressivement les bonnes pratiques, documentez les règles de votre organisation et intégrez la validation des règles à vos processus de développement, de compilation et de déploiement. Par exemple, vos règles d'entreprise peuvent inclure des critères de déploiement que vous implémentez avec l'autorisation binaire.

• Minimum Viable Secure Product (MVP, produit sécurisé minimum viable), une checklist de contrôles de sécurité permettant d'établir une référence de sécurité pour un produit. Vous pouvez utiliser la checklist pour établir vos exigences minimales de contrôle de la sécurité et pour évaluer les logiciels de fournisseurs tiers.
• Publication Security and Privacy Controls for Information Systems and Organizations (SP 800-53) du NIST.