המסמך הזה מתמקד בעיקר בשיטות מומלצות לתמיכה בהגנה על התוכנה בתהליכים ובמערכות בשרשרת האספקה של התוכנה. הוא כולל גם מידע על אופן ההטמעה של חלק מהשיטות המומלצות ב-Google Cloud.
יש שיקולים נוספים להגנה על התוכנה שרלוונטיים למחזור החיים של התוכנה או לשיטות פיתוח בסיסיות שתומכות באבטחת שרשרת אספקת התוכנה. לדוגמה:
- שליטה בגישה פיזית ובגישה מרחוק למערכות.
- הטמעה של מנגנוני ביקורת, מעקב ומשוב כדי שתוכלו לזהות במהירות איומים ואי-תאימות למדיניות ולהגיב להם.
- שיטות תכנות בסיסיות, כולל עיצוב, אימות קלט, פלט למערכות לא מהימנות, עיבוד נתונים, ניתוח קוד וקריפטוגרפיה.
- שיטות עבודה בסיסיות של DevOps שלא מוזכרות במסמכי התיעוד האלה, כולל גישות טכניות, תהליכי צוות ותרבות ארגונית.
עמידה בתנאי רישיונות התוכנה, כולל רישיונות קוד פתוח לתלות ישירה ולתלות עקיפה.
חלק מרישיונות הקוד הפתוח כוללים תנאי רישיון מגבילים שיוצרים בעיות בתוכנות מסחריות. בפרט, חלק מהרישיונות מחייבים אתכם לפרסם את קוד המקור שלכם תחת אותו רישיון כמו תוכנת הקוד הפתוח שבה אתם משתמשים מחדש. אם אתם רוצים לשמור על הפרטיות של קוד המקור, חשוב שתכירו את תנאי הרישיונות של תוכנות קוד פתוח שבהן אתם משתמשים.
הגברת המודעות לאבטחת סייבר באמצעות הדרכות לעובדים. על פי State of Cybersecurity 2021, Part 2, סקר שנערך בקרב אנשי מקצוע בתחום אבטחת המידע, הנדסה חברתית הייתה סוג המתקפה הנפוץ ביותר. משתתפי הסקר דיווחו גם שתוכניות להעלאת המודעות בנושא אבטחת סייבר והדרכות בנושא השפיעו באופן חיובי (46%) או באופן חיובי מאוד (32%) על המודעות של העובדים.
בקטעים הבאים מפורטים מקורות מידע נוספים בנושאים האלה.
אבטחה Google Cloud
במאמר Google Cloud enterprise foundations blueprint, אחד המדריכים בGoogle Cloud security best practices center, מוסבר איך להגדיר מבנה ארגוני, אימות והרשאה, היררכיית משאבים, רשת, רישום ביומן, אמצעי בקרה לגילוי ועוד.
אפשר להציג מידע מרכזי על נקודות חולשה וסיכונים אפשריים באמצעות השירותים האלה של Google Cloud Google:
- אפשר להציג מידע על נקודות חולשה ואיומים בארגון באמצעות Security Command Center. Google Cloud
- שירות ההמלצות מספק מידע על השימוש בשירותים, כולל המלצות שיכולות לעזור לכם להפחית את הסיכון. לדוגמה, אפשר לזהות חשבונות משתמשים ב-IAM עם הרשאות עודפות או פרויקטים ללא השגחה Google Cloud .
מידע נוסף על האבטחה ב- Google Cloudזמין בקטע 'אבטחה' באתר Google Cloud .
שיטות עבודה מומלצות ל-DevOps ולפיתוח תוכנה
במסמכי התיעוד בנושא יכולות DevOps מפורטות שיטות עבודה של DevOps שמאפשרות להכין תוכנות להפצה מהר יותר, ולקבל תוכנות אמינות ומאובטחות יותר.
יש גם שיטות בסיסיות לתכנון, לפיתוח ולבדיקה של קוד שמתאימות לכל שפות התכנות. בנוסף, צריך לבדוק איך אתם מפיצים תוכנה ואת התנאים של רישיונות התוכנה בכל התלות שלכם. קרן Linux מציעה הדרכות אונליין בחינם בנושאים הבאים:
- פיתוח תוכנה מאובטחת: שיטות בסיסיות לפיתוח תוכנה בהקשר של אבטחת שרשרת אספקת התוכנה. הקורס מתמקד בשיטות מומלצות לתכנון, לפיתוח ולבדיקה של קוד, אבל הוא כולל גם נושאים כמו טיפול בחשיפות של נקודות חולשה, מקרים של הבטחת איכות ושיקולים לגבי הפצה ופריסה של תוכנה. ההדרכה נוצרה על ידי Open Source Security Foundation (OpenSSF).
- יסודות הרישוי של קוד פתוח למפתחים מידע על רישיונות וזכויות יוצרים בפרויקטים של קוד פתוח.
- מבוא לניהול תאימות לרישיונות קוד פתוח מידע על בניית תוכנית תאימות לקוד פתוח לארגון שלכם.
פיתוח כללי המדיניות
במהלך ההטמעה ההדרגתית של השיטות המומלצות, כדאי לתעד את המדיניות של הארגון ולשלב אימות של המדיניות בתהליכי הפיתוח, הבנייה והפריסה. לדוגמה, יכול להיות שהמדיניות של החברה שלכם כוללת קריטריונים לפריסה שאתם מטמיעים באמצעות Binary Authorization.
- מוצר בר-קיימא מינימלי ומאובטח, רשימת בקרות לאבטחה כדי ליצור בסיס לאבטחת מוצר. אתם יכולים להשתמש ברשימת המשימות כדי לקבוע את דרישות המינימום של אמצעי הבקרה לאבטחה, וכדי להעריך תוכנות של ספקי צד שלישי.
- פרסום NIST Security and Privacy Controls for Information Systems and Organizations (SP 800-53).