Questa documentazione si concentra principalmente sulle best practice che supportano la protezione del tuo software tra processi e sistemi nella catena di fornitura del software. Include inoltre informazioni su come implementare alcune delle pratiche su Google Cloud.
- Tutela dell'integrità delle origini
- Tutelare l'integrità della compilazione
- Gestire le dipendenze
- Protezione dei deployment
Esistono ulteriori considerazioni per proteggere il software che coprono il ciclo di vita del software o sono pratiche di sviluppo di base che supportano la sicurezza della catena di fornitura del software. Ad esempio:
- Controllo dell'accesso fisico e remoto ai sistemi.
- Implementazione di meccanismi di controllo, monitoraggio e feedback per poter identificare e rispondere rapidamente alle minacce e alla mancata conformità ai criteri.
- Pratiche di codifica di base, tra cui progettazione, convalida dell'input, output in sistemi non attendibili, elaborazione dei dati, analisi del codice e crittografia.
- Pratiche DevOps di base diverse da quelle menzionate in questa documentazione, tra cui approcci tecnici, processi di gruppo e cultura organizzativa.
Rispetto dei termini delle licenze software, incluse le licenze open source per le dipendenze dirette e transitive.
Alcune licenze open source hanno termini restrittivi che sono problematici per il software commerciale. In particolare, alcune licenze richiedono di rilasciare il codice sorgente con la stessa licenza del software open source che stai riutilizzando. Se vuoi mantenere privato il codice sorgente, è importante conoscere i termini delle licenze del software open source che utilizzi.
Aumentare la consapevolezza sulla cybersicurezza offrendo formazione ai dipendenti. Secondo il report State of Cybersecurity 2021, Parte 2, un sondaggio tra professionisti della sicurezza delle informazioni, l'ingegneria sociale è stata la forma di attacco più frequente. Gli intervistati hanno inoltre riferito che i programmi di formazione e sensibilizzazione sulla cybersecurity hanno avuto un impatto positivo (46%) o molto positivo (32%) sulla consapevolezza dei dipendenti.
Per scoprire di più su questi argomenti, utilizza le risorse riportate nelle sezioni seguenti.
Sicurezza su Google Cloud
Scopri come configurare la struttura dell'organizzazione, l'autenticazione e l'autorizzazione, la gerarchia delle risorse, il networking, il logging, i controlli di rilevamento e altro ancora nel progetto base per la sicurezza di Google Cloud, una delle guide del Centro best practice per la sicurezza di Google Cloud.
Puoi visualizzare informazioni centralizzate su vulnerabilità e possibili rischi utilizzando questi servizi Google Cloud:
- Visualizza informazioni su vulnerabilità e minacce nella tua organizzazione Google Cloud con Security Command Center.
- Ricevi informazioni sull'utilizzo del servizio con Recommender, inclusi consigli che possono aiutarti a ridurre i rischi. Ad esempio, puoi identificare entità IAM con autorizzazioni eccessive o progetti Google Cloud non gestiti.
Per scoprire di più sulla sicurezza in Google Cloud, consulta la sezione Sicurezza del sito web di Google Cloud.
Pratiche DevOps e di sviluppo software
Consulta la documentazione relativa alle funzionalità DevOps per scoprire di più sulle pratiche DevOps che contribuiscono a una distribuzione del software più rapida e a un software più affidabile e sicuro.
Esistono anche pratiche di base per la progettazione, lo sviluppo e il test del codice che si applicano a tutti i linguaggi di programmazione. Devi anche valutare come distribuisci il software e i termini delle licenze software in tutte le dipendenze. The Linux Foundation offre formazione online gratuita su questi argomenti:
- Sviluppo di software sicuro: pratiche di sviluppo di software di base nel contesto della sicurezza della catena di fornitura del software. Il corso si concentra sulle best practice per la progettazione, lo sviluppo e il testing del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni per la distribuzione e il deployment del software. La formazione è stata creata dalla Open Source Security Foundation (OpenSSF).
- Nozioni di base sulle licenze open source per gli sviluppatori Scopri di più su licenze e copyright per i progetti open source.
- Introduzione alla gestione della conformità alle licenze open source Scopri come creare un programma di conformità open source per la tua organizzazione.
Sviluppo delle norme
Man mano che implementi le best practice in modo incrementale, documenta le norme per la tua organizzazione e incorpora la convalida delle norme nelle procedure di sviluppo, compilazione e deployment. Ad esempio, i criteri della tua azienda potrebbero includere i criteri per il deployment che implementi con l'Autorizzazione binaria.
- Minimum Viable Secure Product, un elenco di controllo dei controlli di sicurezza per stabilire una security posture di base per un prodotto. Puoi utilizzare l'elenco di controllo per stabilire i requisiti minimi di controllo della sicurezza e valutare il software di fornitori di terze parti.
- Pubblicazione NIST Security and Privacy Controls for Information Systems and Organizations (SP 800-53).