Aqua Security und das Center for Internet Security (CIS), haben heute die ersten formalen Richtlinien der Branche für die Sicherheit der Software-Supply-Chain veröffentlicht. CIS ist eine unabhängige, gemeinnützige Organisation, die es sich zur Aufgabe gemacht hat, mehr Vertrauen in die vernetzte Welt zu schaffen. Der CIS Software Supply Chain Security Guide, der in Zusammenarbeit zwischen den beiden Organisationen entwickelt wurde, enthält mehr als 100 grundlegende Empfehlungen, die auf eine Vielzahl von häufig verwendeten Technologien und Plattformen angewendet werden können. Darüber hinaus stellte Aqua Security Chain-Bench vor, das erste Tool zur Prüfung der Software-Supply-Chain, um für die Einhaltung der neuen Richtlinien zu sorgen.
Etablierung von Best-Practices für die Sicherheit der Software-Lieferkette
Chain Bench: Das erste Open-Source-Tool der Branche für die Sicherheit der Software-Supply-Chain
„Die Entwicklung von Software in großem Maßstab erfordert eine starke Governance der Software-Supply-Chain, und eine starke Governance erfordert wiederum effektive Tools. Hier sahen wir eine Möglichkeit, Mehrwert zu schaffen“, sagt Eylam Milner, Director Argon Technology, Aqua Security. „Wir wollten unser Fachwissen im Bereich der Sicherheit der Software-Supply-Chain nutzen, um einen wichtigen Leitfaden für eine der dringlichsten Herausforderungen der Industrie zu erstellen und ein kostenloses, zugängliches Tool zu entwickeln, das anderen Unternehmen bei der Einhaltung der Richtlinien hilft. Doch die Arbeit hört hier nicht auf. Wir werden weiterhin mit CIS zusammenarbeiten, um diesen Leitfaden zu verfeinern, damit Unternehmen weltweit von stärkeren Sicherheitspraktiken profitieren können.“
„Mit der Veröffentlichung des CIS-Leitfadens zur Sicherheit der Software-Supply-Chain hoffen CIS und Aqua Security, eine lebendige Gemeinschaft aufzubauen, die an der Entwicklung zukünftiger plattformspezifischer Benchmark-Standards interessiert ist“, so Phil White, Benchmarks Development Team Manager bei CIS. „Alle Fachexperten, die mit den Technologien und Plattformen arbeiten, aus denen sich die Software-Supply-Chain zusammensetzt, sind aufgerufen, sich an der Ausarbeitung weiterer Benchmarks zu beteiligen. Ihr Fachwissen wird wertvoll sein, um wichtige Best Practices zu etablieren, die die Sicherheit der Software-Lieferkette für alle verbessern.“
Bislang wurde der Leitfaden von Experten von CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat und anderen führenden Technologieunternehmen geprüft.
Info: Mehr über den CIS Software Supply Chain Security Guide kann man auf CIS WorkBench erfahren. Das kostenfreie Open-Source-Tool Chain-Bench kann man auf GitHub herunterladen.