Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta documentação se concentra principalmente nas práticas recomendadas que ajudam a proteger
seu software em processos e sistemas da sua cadeia de suprimentos de software. Ele
também inclui informações sobre como implementar algumas das práticas em
Google Cloud.
Há outras considerações para proteger seu software que abrangem o
ciclo de vida do software ou são práticas de desenvolvimento fundamentais que oferecem suporte
à segurança da cadeia de suprimentos de software. Exemplo:
Controle de acesso físico e remoto a sistemas.
Implementar mecanismos de auditoria, monitoramento e feedback para identificar e responder rapidamente a ameaças e não conformidade com a política.
Práticas de programação fundamentais, incluindo design, validação de entrada, saída para
sistemas não confiáveis, processamento de dados, análise de código e criptografia.
Práticas básicas de DevOps além das mencionadas nesta documentação,
incluindo abordagens técnicas, processo de equipe e cultura organizacional.
Adesão aos termos das licenças de software, incluindo licenças de código aberto para
dependências diretas e transitivas.
Algumas licenças de código aberto têm termos restritivos que são problemáticos
para softwares comerciais. Especificamente, algumas licenças exigem que você libere
seu código-fonte sob a mesma licença do software de código aberto que você
está reutilizando. Se você quiser manter seu código-fonte privado, é importante
conhecer os termos das licenças do software de código aberto que você usa.
Aumentar a conscientização sobre a cibersegurança com treinamento para os funcionários.
De acordo com o Estado da Cibersegurança 2021, Parte 2, uma pesquisa com
profissionais de segurança da informação, a engenharia social foi o tipo de ataque mais frequente. Os participantes da pesquisa também informaram que os treinamentos e programas de conscientização sobre segurança cibernética tiveram algum impacto positivo (46%) ou forte impacto positivo (32%) na conscientização dos funcionários.
Use os recursos nas seções a seguir para saber mais sobre esses tópicos.
Você pode conferir informações centralizadas sobre vulnerabilidades e possíveis
riscos usando estes Google Cloud serviços:
Confira informações sobre vulnerabilidades e ameaças em toda a Google Cloud
organização com o Security Command Center.
Receba informações sobre o uso do serviço com o Recommender,
incluindo recomendações que podem ajudar a reduzir os riscos. Por exemplo,
é possível identificar principais do IAM com permissões em excesso ou
projetos Google Cloud não supervisionados.
Consulte a documentação Capacidades do DevOps
para saber mais sobre práticas de DevOps que contribuem para uma entrega
de software mais rápida e um software mais confiável e seguro.
Também há práticas fundamentais para projetar, desenvolver e testar
códigos que se aplicam a todas as linguagens de programação. Você também precisa avaliar como
distribui o software e os termos das licenças de software em todas as
dependências. A Linux Foundation oferece treinamentos on-line gratuitos sobre estes temas:
Como desenvolver softwares seguros (em inglês): práticas
básicas de desenvolvimento de software no contexto da segurança da cadeia de suprimentos
de software. O curso se concentra nas práticas recomendadas para projetar, desenvolver e
testar códigos, mas também aborda tópicos como lidar com divulgações de vulnerabilidades,
casos de garantia e considerações para distribuição e implantação de software.
O treinamento foi criado pela Open Source Security Foundation (OpenSSF).
À medida que você implementa as práticas recomendadas de forma incremental, documente as políticas da
organização e incorpore a validação delas aos processos de desenvolvimento,
build e implantação. Por exemplo, as políticas da empresa podem
incluir critérios de implantação que você implementa com a Autorização binária.
Produto mínimo viável seguro, uma lista de verificação
de segurança de controles para estabelecer uma postura de segurança de referência para um
produto. É possível usar a lista de verificação para estabelecer seus requisitos mínimos de
controle de segurança e avaliar softwares de fornecedores terceirizados.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Protect your software supply chain\n\nThis documentation focuses primarily on best practices that support protecting\nyour software across processes and systems in your software supply chain. It\nalso includes information about how to implement some of the practices on\nGoogle Cloud.\n\n- [Safeguarding source integrity](/software-supply-chain-security/docs/safeguard-source)\n- [Safeguarding build integrity](/software-supply-chain-security/docs/safeguard-builds)\n- [Managing dependencies](/software-supply-chain-security/docs/dependencies)\n- [Safeguarding deployments](/software-supply-chain-security/docs/safeguard-deploys)\n\nThere are additional considerations for protecting your software that span the\nsoftware lifecycle or are foundational development practices that support\nsoftware supply chain security. For example:\n\n- Controlling physical and remote access to systems.\n- Implementing audit, monitoring, and feedback mechanisms so that you are able to quickly identify and respond to threats and non-compliance with policy.\n- Foundational coding practices including design, input validation, output to untrusted systems, data processing, code analysis, and cryptography.\n- Foundational DevOps practices beyond ones mentioned in this documentation, including technical approaches, team process, and organizational culture.\n- Adherence to software licenses terms, including open source licenses for\n direct and transitive dependencies.\n\n Some open source licenses have restrictive license terms that are problematic\n for commercial software. In particular, some licenses require you to release\n your source code under the same license as the open source software that you\n are reusing. If you want to keep your source code private, it's important\n to know the licenses terms of open source software you use.\n- Increasing awareness about cybersecurity by providing training to employees.\n According the [State of Cybersecurity 2021, Part 2](https://www.isaca.org/state-of-cybersecurity-2021), a survey of\n information security professionals, social engineering was the most frequent\n type of attack. Survey respondants also reported that cybersecurity training\n and awareness programs had some positive impact (46%) or strong positive\n impact (32%) on employee awareness.\n\nUse the resources in the following sections to learn more about these topics.\n\nSecurity on Google Cloud\n------------------------\n\nLearn about setting up organization structure, authentication and authorization,\nresource hierarchy, networking, logging, detective controls, and more in the\n[Google Cloud enterprise foundations blueprint](/architecture/security-foundations), one of\nthe guides in the\n[Google Cloud security best practices center](/security/best-practices).\n\nYou can view centralized information about vulnerabilities and possible\nrisks using these Google Cloud services:\n\n- View information about vulnerabilities and threats across your Google Cloud organization with [Security Command Center](/security-command-center/docs/security-command-center-overview).\n- Get information about your service usage with [Recommender](/recommender/docs/overview), including recommendations that can help you to reduce risk. For example, you can identify IAM principals with excess permissions or unattended Google Cloud projects.\n\nTo learn more about security on Google Cloud, see the\n[Security section of the Google Cloud web site](/security).\n\nDevOps and software development practices\n-----------------------------------------\n\nSee the [DevOps capabilities](https://dora.dev/devops-capabilities/)\ndocumentation to learn more about DevOps practices that contribute to faster\nsoftware delivery and more reliable and secure software.\n\nThere are also foundational practices for designing, developing, and testing\ncode that apply to all programming languages. You also need to evaluate how\nyou distribute software and the terms of software licenses in all of your\ndependencies. The Linux Foundation offers free online training on these topics:\n\n- [Developing Secure Software](https://training.linuxfoundation.org/training/developing-secure-software-lfd121/): Foundational software development practices in the context of software supply chain security. The course focuses on best practices for designing, developing, and testing code, but also covers topics such as handling vulnerability disclosures, assurance cases, and considerations for software distribution and deployment. The [Open Source Security Foundation](https://openssf.org/) (OpenSSF) created the training.\n- [Open Source Licensing Basics for Developers](https://training.linuxfoundation.org/training/open-source-licensing-basics-for-software-developers/) Learn about licenses and copyright for open source projects.\n- [Introduction to Open Source License Compliance Management](https://training.linuxfoundation.org/training/introduction-to-open-source-license-compliance-management-lfc193/) Learn about building an open source compliance program for your organization.\n\nDeveloping your policies\n------------------------\n\nAs you incrementally implement best practices, document the policies for your\norganization and incorporate validation of policies into your development,\nbuild, and deployment processes. For example, your company policies might\ninclude criteria for deployment that you implement with [Binary Authorization](/binary-authorization/docs/overview).\n\n- [Minimum Viable Secure Product](https://mvsp.dev), a security checklist of controls to establish a baseline security posture for a product. You can use the checklist to establish your minimum security control requirements and to evaluate software by third-party vendors.\n- NIST [Security and Privacy Controls for Information Systems and Organizations](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) publication (SP 800-53)."]]
