En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Actualité des entreprises

Aqua et le CIS créent le premier guide pour la sécurité de la supply chain logicielle

Publication: Juin 2022

Partagez sur
 
Aqua dévoile également Chain-Bench, le premier et unique outil open source gratuit, permettant d’auditer la chaine d’approvisionnement logicielle, et de garantir la conformité aux nouvelles directives du CIS...
 

Aqua Security, pure player de la sécurité cloud native et le Center for Internet Security (CIS), une organisation indépendante à but non lucratif dont la mission est de faire du monde connecté un endroit plus sûr, publient ce jour les premières directives officielles du marché visant à protéger efficacement la chaîne d’approvisionnement logicielle.

Développé en collaboration entre les deux acteurs, le Guide de sécurité de la chaîne d’approvisionnement logicielle CIS propose en effet plus de 100 recommandations fondamentales qui peuvent être appliquées à une variété de technologies et de plateformes couramment utilisées. En complément, Aqua Security a dévoilé un nouvel outil d’audit open source, Chain-Bench, unique sur le marché et dédié à la chaîne d’approvisionnement logicielle, pour garantir la conformité aux nouvelles directives CIS.

Établir les meilleures pratiques

Si les menaces pesant sur la chaîne d’approvisionnement logicielle ne cessent de croître, des études démontrent régulièrement que la sécurité au sein des environnements de développement reste faible. Ces directives mettent en avant des bonnes pratiques globales. Elles prennent en charge les standards émergeants tels que les cadres SLSA (Supply chain Levels for Software Artifacts) et TUF tout en les complétant avec des conseils fondamentaux sur la définition et l’audit des configurations des plateformes prises en charge par le benchmark.

Cinq catégories de la chaîne d’approvisionnement logicielle sont étudiées : le code source, les pipelines de build, les dépendances, les artefacts et le déploiement (lien vers le blog avec vue d’ensemble).

Le CIS a pour volonté d’étendre ces directives à d’autres Benchmarks pour créer des recommandations de sécurité cohérentes sur l’ensemble des plateformes. Comme pour toutes ses recommandations, ce guide sera publié et révisé à l’échelle mondiale et les retours du marché aideront à confirmer la pertinence de ses futures orientations.

« En publiant le Guide CIS de sécurité de la chaîne d’approvisionnement logicielle, CIS et Aqua Security entendent construire un communauté dynamique intéressée par le développement de benchmarks et de conseils spécifiques », déclare Phil White, responsable de l’équipe de développement des benchmarks pour CIS. « Tous les experts en la matière qui développent ou travaillent avec les technologies et les plateformes composant la chaîne d’approvisionnement logicielle sont encouragés à se joindre à l’effort collectif pour établir des benchmarks additionnels. Leur expertise sera un atout précieux dans le développement des meilleures pratiques pour faire avancer la sécurité de la chaîne d’approvisionnement logicielle au bénéfice du plus grand nombre. »

À ce jour, le guide a été vérifié par des experts de CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat et d’autres entreprises technologiques de premier plan.

Ofir Shapira, chef produit Cybersécurité, Axonius : « Le travail d’Aqua autour de la protection de la chaîne d’approvisionnement logicielle, non seulement de manière individuelle, mais aussi pour l’ensemble de la communauté, ouvre la voie à des releases logicielles plus sécurisées. »

Erez Dasa, architecte cyber et de sécurité applicative, principale organisation de paiement numérique : « La mise en œuvre de ces directives sur nos processus de développement augmente notre confiance dans la sécurité de nos versions. »

Le premier outil open source de l’industrie dédié à la sécurité de la chaîne d’approvisionnement logicielle

Pour aider les organisations à adopter les directives CIS, Aqua a développé Chain-Bench. Cet outil scanne toute la chaîne DevOps, du code source au déploiement, et simplifie la conformité aux réglementations et standards de sécurité, ainsi qu’aux référentiels internes pour s’assurer que les équipes puissent mettre en œuvre de manière cohérente des contrôles de sécurité logiciels ainsi que les meilleures pratiques.

« Le développement logiciel à grande échelle nécessite une gouvernance solide de la chaîne d’approvisionnement, qui requiert elle-même des outils efficaces. C’est là que nous avons eu l’opportunité d’ajouter de la valeur », poursuit Eylam Milner, directeur de la technologie Argon, Aqua Security. « Nous voulions capitaliser sur notre expertise en matière de protection de la chaîne d’approvisionnement logicielle pour aider à élaborer des recommandations essentielles visant à relever l’un des défis les plus urgents de l’industrie, ainsi qu’un outil gratuit et accessible pour accompagner l’adhésion des organisations. Le travail ne s’arrête pas là. Nous continuerons à collaborer avec le CIS pour affiner ces directives, afin que les organisations du monde entier puissent bénéficier de pratiques de sécurité renforcées. »

https://www.aquasec.com/

https://www.cisecurity.org/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: