Aqua Security und Center for Internet Security kollaborieren Open-Source-Tool stützt CIS Security Guide

Quelle: Pressemitteilung |

Anbieter zum Thema

Vermehrt zielen Cyber-Kriminelle auf Software-Lieferketten ab, um sich Zugang zu IT-Systemen zu verschaffen. Das Open-Source-Tool „Chain-Bench“ von Aqua-Security soll dem entgegenwirken, es ist in Zusammenarbeit mit dem Center for Internet Security entstanden.

Mit Chain-Bench hat Aqua Security ein Open-Source-Tool entwickelt, das die Einhaltung der Vorgaben des „CIS Software Supply Chain Security Guide“ prüft.
Mit Chain-Bench hat Aqua Security ein Open-Source-Tool entwickelt, das die Einhaltung der Vorgaben des „CIS Software Supply Chain Security Guide“ prüft.
(Bild: Aqua Security)

Gemeinsam mit dem CIS (Center for Internet Security) hat Aqua Security formale Richtlinien für die Sicherheit der Software-Supply-Chain erarbeitet. Dieser „CIS Software Supply Chain Security Guide“ enthält mehr als 100 grundlegende Empfehlungen, die sich auf eine Vielzahl häufig verwendeter Technologien und Plattformen anwenden ließen.

Mit Chain-Bench hat Aqua Security ein Open-Source-Tool entwickelt, das die Einhaltung der Vorgaben des „CIS Software Supply Chain Security Guide“ prüft.
Mit Chain-Bench hat Aqua Security ein Open-Source-Tool entwickelt, das die Einhaltung der Vorgaben des „CIS Software Supply Chain Security Guide“ prüft.
(Bild: Aqua Security)

Den Leitfaden wolle man künftig weiter verfeinern, damit Unternehmen weltweit von stärkeren Sicherheitspraktiken profitieren, berichtet Eylam Milner, Director Argon Technology bei Aqua Security. Auf Basis dieser Zusammenarbeit ist außerdem das Open-Source-Tool „Chain-Bench“ entstanden, das den DevOps-Stack vom Quellcode bis zur Bereitstellung auf die Erfüllung von Richtlinien und Best Practices hin scannt.

Software-Entwicklung in großem Maßstab erfordere eine starke Governance der Software-Supply-Chain – und diese wiederum effektive Tools, konstatiert Milner: „Wir wollten unser Fachwissen im Bereich der Sicherheit der Software-Supply-Chain nutzen, um einen wichtigen Leitfaden für eine der dringlichsten Herausforderungen der Industrie zu erstellen und ein kostenloses, zugängliches Tool zu entwickeln, das anderen Unternehmen bei der Einhaltung der Richtlinien hilft.“

Die neuen CIS-Richtlinien umfassen allgemeine Praxisempfehlungen, um neue Standards wie Supply-Chain-Levels for Software Artifacts (SLSA) und The Update Framework (TUF) zu unterstützen. Gleichzeitig geben die Richtlinien grundlegende Empfehlungen für das Festlegen und Prüfen von Konfigurationen auf den von den Benchmarks unterstützten Plattformen.

Innerhalb des Leitfadens umfassen die Empfehlungen fünf Kategorien der Software-Supply-Chain. Dazu zählen Quellcode, Build Pipelines, Abhängigkeiten, Artefakte und Bereitstellung. Das CIS beabsichtigt, diesen Leitfaden um spezifischere CIS-Benchmarks zu erweitern und so einheitliche Sicherheitsempfehlungen für alle Plattformen zu schaffen. Wie alle CIS-Anleitungen wird auch dieser Leitfaden weltweit veröffentlicht und geprüft werden. Rückmeldungen werden dann dazu beitragen, dass künftige plattformspezifische Anleitungen präzise und relevant sind.

Das kostenfreie Open-Source-Tool Chain-Bench steht bei GitHub zum Download bereit. Mehr über den CIS Software Supply Chain Security Guide in der Community-getriebenen CIS WorkBench (registrierungspflichtig).

(ID:48481718)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung