BOSTON— 22 Juni 2022 — Aqua Security, penyedia keamanan asli cloud pure-play terkemuka, dan Center for Internet Security (CIS), sebuah organisasi nirlaba independen dengan misi untuk menciptakan kepercayaan di dunia yang terhubung, hari ini merilis pedoman formal pertama di industri untuk rantai pasokan perangkat lunak keamanan. Dikembangkan melalui kolaborasi antara dua organisasi, the Panduan Keamanan Rantai Pasokan Perangkat Lunak CIS memberikan lebih dari 100 rekomendasi dasar yang dapat diterapkan di berbagai teknologi dan platform yang umum digunakan. Selain itu, Aqua Security meluncurkan alat open source baru, Chain-Bench, yang merupakan alat pertama dan satu-satunya untuk mengaudit rantai pasokan perangkat lunak guna memastikan kepatuhan terhadap pedoman CIS yang baru.
Menetapkan Praktik Terbaik untuk Keamanan Rantai Pasokan Perangkat Lunak
Meskipun ancaman terhadap rantai pasokan perangkat lunak terus meningkat, penelitian menunjukkan bahwa keamanan di seluruh lingkungan pengembangan tetap rendah. Pedoman baru menetapkan praktik terbaik umum yang mendukung standar utama yang muncul seperti Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak (SLSA) dan Kerangka Kerja Pembaruan (TUF) sambil menambahkan rekomendasi dasar untuk pengaturan dan mengaudit konfigurasi pada platform yang didukung Benchmark.
Dalam panduan ini, rekomendasi mencakup lima kategori rantai pasokan perangkat lunak, termasuk Source Code, Build Pipelines, Dependencies, Artefak, dan Deployment (tautan ke blog dengan ikhtisar).
CIS bermaksud untuk memperluas panduan ini menjadi Tolok Ukur CIS yang lebih spesifik untuk membuat rekomendasi keamanan yang konsisten di seluruh platform. Seperti semua panduan CIS, panduan ini akan diterbitkan dan ditinjau secara global. Umpan balik akan membantu memastikan bahwa panduan khusus platform di masa mendatang akurat dan relevan.
“Dengan menerbitkan Panduan Keamanan Rantai Pasokan Perangkat Lunak CIS, CIS dan Aqua Security berharap dapat membangun a
komunitas bersemangat yang tertarik untuk mengembangkan panduan Benchmark khusus platform yang akan datang,” kata Phil White, Manajer Tim Pengembangan Benchmarks untuk CIS. “Setiap ahli materi pelajaran yang mengembangkan atau bekerja dengan teknologi dan platform yang membentuk rantai pasokan perangkat lunak didorong untuk bergabung dalam upaya membangun tolok ukur tambahan. Keahlian mereka akan berharga untuk membangun praktik terbaik yang penting guna memajukan keamanan rantai pasokan perangkat lunak untuk semua.”
Hingga saat ini, panduan tersebut telah ditinjau oleh para ahli di CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat, dan perusahaan teknologi terkemuka lainnya.
Ofir Shapira, Manajer Produk Keamanan Cyber, Axonius: “Pekerjaan yang dilakukan Aqua seputar keamanan rantai pasokan perangkat lunak, tidak hanya sebagai perusahaan tetapi juga untuk komunitas yang lebih luas, membuka jalan bagi rilis perangkat lunak yang lebih aman.”
Erez Dasa, Arsitek Keamanan Cyber & Aplikasi, organisasi pembayaran digital terkemuka: “Menerapkan pedoman ini dalam proses pengembangan memberi kami lebih banyak kepercayaan pada keamanan rilis.”
Alat Sumber Terbuka Pertama di Industri untuk Keamanan Rantai Pasokan Perangkat Lunak
Untuk mendukung organisasi yang mengadopsi panduan CIS, Aqua merilis Chain-Bench. Chain-Bench memindai tumpukan DevOps dari kode sumber hingga penerapan dan menyederhanakan kepatuhan terhadap peraturan keamanan, standar, dan kebijakan internal untuk memastikan tim dapat secara konsisten menerapkan kontrol keamanan perangkat lunak dan praktik terbaik.
“Membangun perangkat lunak dalam skala besar membutuhkan tata kelola yang kuat dari rantai pasokan perangkat lunak, dan tata kelola yang kuat membutuhkan alat yang efektif. Di sinilah kami melihat peluang untuk menambah nilai,” kata Eylam Milner, Director Argon Technology, Aqua Security. “Kami ingin memanfaatkan keahlian kami dalam keamanan rantai pasokan perangkat lunak untuk membantu membangun panduan penting untuk salah satu tantangan industri yang paling mendesak, serta alat gratis yang dapat diakses untuk membantu organisasi lain mematuhinya. Pekerjaan tidak berhenti di sini. Kami akan terus bekerja dengan CIS untuk menyempurnakan panduan ini, sehingga organisasi di seluruh dunia dapat mengambil manfaat dari praktik keamanan yang lebih kuat.”
Untuk mempelajari lebih lanjut tentang Panduan Keamanan Rantai Pasokan Perangkat Lunak CIS, kunjungi CIS WorkBench. Untuk mengunduh Chain-Bench, kunjungi GitHub.
Tentang Pusat Keamanan Internet, Inc. (CIS®)
Center for Internet Security, Inc. (CIS®) menjadikan dunia yang terhubung sebagai tempat yang lebih aman bagi orang, bisnis, dan pemerintah melalui kompetensi inti kolaborasi dan inovasi kami. Kami adalah organisasi nirlaba berbasis komunitas, yang bertanggung jawab atas CIS Critical Security Controls® dan CIS Benchmarks™, praktik terbaik yang diakui secara global untuk mengamankan sistem dan data TI. Kami memimpin komunitas global profesional TI untuk terus mengembangkan standar ini dan menyediakan produk dan layanan untuk melindungi secara proaktif dari ancaman yang muncul. CIS Hardened Images® kami menyediakan lingkungan komputasi yang aman, sesuai permintaan, dan dapat diskalakan di cloud. CIS adalah rumah bagi Multi-State Information Sharing and Analysis Center® (MS-ISAC®), sumber tepercaya untuk pencegahan, perlindungan, respons, dan pemulihan ancaman dunia maya untuk entitas pemerintah Negara Bagian, Lokal, Suku, dan Teritorial (SLTT) AS , dan Pusat Analisis dan Berbagi Informasi Infrastruktur Pemilu® (EI-ISAC®), yang mendukung kebutuhan keamanan siber yang berubah dengan cepat di kantor pemilu AS. Untuk mempelajari lebih lanjut, kunjungi CISecurity.org atau ikuti kami di Twitter: @CISecurity.
Tentang Keamanan Aqua
Aqua Security menghentikan serangan cloud native. Sebagai pionir dan perusahaan keamanan native cloud pure-play terbesar, Aqua membantu pelanggan membuka inovasi dan membangun masa depan bisnis mereka. Aqua Platform adalah Cloud Native Application Protection Platform (CNAPP) paling terintegrasi di industri yang mengamankan seluruh siklus hidup aplikasi melalui pencegahan, deteksi, dan respons. Didirikan pada tahun 2015, Aqua berkantor pusat di Boston, MA dan Ramat Gan, IL dengan pelanggan Fortune 1000 di lebih dari 40 negara. Untuk informasi lebih lanjut, kunjungi www.aquasec.com.
#Aqua #Security #Berkolaborasi #Dengan #Pusat #Keamanan #Internet #untuk #Membuat #Panduan #Keamanan #Rantai #Pasokan #Perangkat #Lunak
