Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SolarWinds annonce que son Next-Generation Build System s’aligne sur le SSDF du NIST

juillet 2023 par Marc Jacob

SolarWinds annonce que son Next-Generation Build System s’aligne sur le Secure Software Development Framework (SSDF) et la Software Supply Chain Security Guidance (Directive sur la sécurité de la chaîne d’approvisionnement logicielle) du National Institute of Standards and Technology (NIST®).

SolarWinds a lancé son initiative Secure by Design en 2021, en réponse à SUNBURST. Cette initiative constitue une approche stratégique pluridimensionnelle englobant une technologie propriétaire, des produits et des processus conçus pour venir renforcer l’entreprise et l’ensemble du secteur. Le cœur de cette initiative est le Next-Generation Build System de l’entreprise, qui exploite un processus de build parallèle unique, dans le cadre duquel le logiciel est développé dans plusieurs environnements sécurisés, dupliqués et éphémères.

Le Next-Generation Build System de SolarWinds respecte ou dépasse invariablement les normes suggérées du SSDF du NIST en appliquant ce qui suit :

Réalisation de builds logiciels en parallèle via l’utilisation de trois environnements de build distincts et isolés les uns des autres, dans le cadre desquels chaque étape de build est signée et vérifiée avant de passer par un environnement de validation sécurisé conçu pour effectuer toute une gamme d’analyses et de vérifications de sécurité pour valider le produit avant sa mise en production
Dépassement de l’approche zéro confiance en adoptant et implémentant une position de présomption de violation afin d’éliminer toute confiance implicite envers les applications et services
Utilisation d’opérations éphémères dans le processus de développement de logiciels pour éliminer les dépendances et supprimer les opportunités d’établissement d’une base par des acteurs de menace malveillants
Déploiement d’outils automatisés conçus pour s’exécuter de façon récurrente afin d’analyser les vulnérabilités dans l’ensemble du processus de développement, y compris les vérifications de vulnérabilité des logiciels open-source, l’analyse du code statique et le test de sécurité des applications dynamiques
Création d’une nomenclature logicielle, qui propose une représentation complète de tous les composants, bibliothèques, outils et processus utilisés dans le processus de build
Respect des protocoles de divulgation responsables pour les vulnérabilités vérifiées et validées

Le président Biden a signé l’Ordre exécutif 14028 en mai 2021, avec pour objectif d’implémenter des normes de cybersécurité plus robustes au niveau du gouvernement fédéral et d’améliorer la chaîne d’approvisionnement logicielle. L’Ordre exécutif ordonnait au NIST de développer, mettre à jour et implémenter des directives d’architecture et de structure zéro confiance pour améliorer la sécurité de la chaîne d’approvisionnement logicielle et ordonnait en parallèle à l’OMB (Office of Management and Budget ou Bureau de la gestion et du budget) d’imposer le respect des directives du NIST.


Voir les articles précédents

    

Voir les articles suivants