Jetstack introduceert toolkit voor beveiliging software supply chain

Jetstack, een Venafi-bedrijf gespe­ci­a­li­seerd in cloud, open source en stra­te­gisch advies, intro­du­ceert een inter­ac­tieve en gebruiks­vrien­de­lijke toolkit voor het bevei­ligen van software supply chains. Deze webge­ba­seerde visuele oplossing is ontworpen om orga­ni­sa­ties te helpen bij het evalueren en plannen van de benodigde stappen voor een effec­tieve bevei­li­ging van hun software supply chain. 

Het bevei­ligen van software supply chains wordt voor alle orga­ni­sa­ties een kriti­scher vraagstuk. Sinds de aanval op Solar­Winds eind 2020, die ruim 1.800 bedrijven heeft getroffen, is het aantal aanvallen op software supply chains in 2021 met meer dan 300 procent toegenomen.

De Software Supply Chain toolkit van Jetstack conso­li­deert adviezen en aanbe­ve­lingen uit meerdere bronnen en white­pa­pers, die elk uitge­breide richt­lijnen bieden voor het bevei­ligen van de software supply chain, waaronder:

• CNCF: ‘Software Supply Chain Best Practices’ whitepaper
• Linux Foun­da­tion: SLSA (Supply-chain Levels for Software Artifacts)
• NIST: Guidance on Executive Order 14028 Improving Software Supply Chain Security
  Venafi: blueprint for building secure software devel­op­ment pipelines

Jetstack’s toolkit presen­teert de richt­lijnen van deze raam­werken verdeeld over vier deel­ge­bieden: build pipelines, broncode, provenance en deployment.

De aanbe­ve­lingen uit elke sectie bevatten zowel inzichten naar prio­ri­teit en complexi­teit, als links naar de originele open source toolsets die kunnen helpen bij die speci­fieke aanbeveling.

“Steeds meer orga­ni­sa­ties begrijpen de urgentie en het belang van het verbe­teren van de bevei­li­ging van alle software die ze gebruiken en zelf ontwik­kelen,” zegt Matthew Bates, chief tech­no­logy officer van Jetstack. “Het is echter een grote uitdaging om alle veran­de­ringen die nodig zijn te iden­ti­fi­ceren en te prio­ri­teren en tege­lij­ker­tijd de concur­re­rende prio­ri­teiten van ontwikkel- en secu­ri­ty­com­mu­ni­ties te managen. In de praktijk is het erg moeilijk om te ontdekken hoe je de ontwik­kel­snel­heid kunt blijven verbe­teren en de tijd tot imple­men­tatie kunt verkorten, terwijl je tege­lij­ker­tijd de controle, zicht­baar­heid en bevei­li­ging moet verbe­teren. Onze toolkit helpt ontwikkel- en bevei­li­gings­teams snel uit te vinden waar ze moeten starten door de moei­lijk­heids­graad en impact in kaart te brengen die gere­la­teerd zijn aan speci­fieke beveiligingscontroles.”

“Aanvallen op de software supply chain richten zich op een breed scala aan kwets­baar­heden en verschil­lende momenten in de levens­cy­clus van software”, zegt Steve Judd, senior solutions architect bij Jetstack en ontwik­ke­laar van de toolkit. “Om die aanvallen te voorkomen of tegen te houden zijn veel meer controles nodig dan alleen een software bill of materials (SBOMs), wat slechts een van de 54 aanbe­ve­lingen is. Deze Software Supply Chain toolkit is een nieuwe vorm van samen­wer­king met de open source community, om de markt te helpen bij het ontwik­kelen van proac­tieve en preven­tieve oplos­singen die speciaal zijn gebouwd voor bestaande en opkomende ontwikkelprocessen.”

Bekijk de toolkit hier.