Software Supply Chain Security Checklist

Checkliste für die Sicherheit in der Softwarelieferkette

Sécurité de la supply chain logicielle :
la checklist

Seguridad de la cadena de suministro de software: lista de comprobación

EDIT ME

ソフトウェア サプライチェーン セキュリティ チェックリスト

Checklist per la sicurezza della supply chain del software

소프트웨어 공급망
보안 체크리스트

软件供应链安全检查清单

軟體供應鏈安全性檢查清單

EDIT ME

Lista de verificação de segurança da cadeia de suprimentos de software

EDIT ME

7 Rules to Protect Your Supply Chain from Attack

Sieben Regeln für den Schutz Ihrer Lieferkette vor Angriffen

Attaques contre la supply chain logicielle : 7 règles pour bien vous protéger

7 reglas para proteger su cadena de suministro frente a un ataque

7 regole per proteggere la supply chain dagli attacchi

EDIT ME

공격망을 공격으로부터 보호하기 위한 7가지 규칙

保护供应链免遭攻击的 7 条规则

保護您的供應鏈免於遭受攻擊的 7 項規則

7 regras para proteger sua cadeia de suprimentos contra ataques

Software supply chains are made up of software components like open source packages and infrastructure as code (IaC) templates, as well as underlying delivery pipelines, such as version control systems (VCS) and continuous integration/continuous delivery (CI/CD) pipelines.

Because software supply chains have direct access to proprietary code and are just a few pivots away from sensitive data, securing them is crucial. Recent software supply chain attacks have highlighted this fact, and Gartner® predicts that “by 2025, 45% of organizations worldwide will have experienced attacks on their software supply chains.”1

This checklist covers seven key considerations for identifying, prioritizing and addressing risks faster and preventing supply chain security attacks.

Download the Supply Chain Security Checklist to learn:

  • Common security risks at each layer of software supply chains.
  • Rules for securing different third-party software components.
  • Security best practices for CI/CD pipelines, registries, repositories and more!
  1. Manjunath Bhat, Dale Gardner, and Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, July 15, 2021.

Softwarelieferketten umfassen Softwarekomponenten wie Open-Source-Pakete und Infrastructure-as-Code(IaC)-Vorlagen, aber auch die darunterliegenden Bereitstellungspipelines und deren Systeme für die Versionskontrolle (Version Control Systems, VCS) und Continuous-Integration/Continuous-Delivery(CI/CD)-Pipelines.

Da Softwarelieferketten direkten Zugang zu proprietärem Code haben und nur wenige Klicks von sensiblen Daten entfernt sind, ist ihre Sicherung von entscheidender Bedeutung. Die jüngsten Angriffe auf Softwarelieferketten haben dies verdeutlicht und Gartner® prognostiziert, dass es „bis 2025 in 45 % aller Unternehmen weltweit Angriffe auf die Softwarelieferkette geben wird“.1

Diese Checkliste enthält sieben wichtige Überlegungen zur schnelleren Identifizierung, Priorisierung und Behebung von Risiken sowie zur Verhinderung von Angriffen auf die Lieferkette.

Laden Sie die Checkliste für die Sicherheit in der Softwarelieferkette herunter, um mehr über folgende Themen (und viele weitere) zu erfahren:

  • Gängige Sicherheitsrisiken auf den einzelnen Ebenen der Softwarelieferkette
  • Regeln für die Absicherung verschiedener Softwarekomponenten von Drittanbietern
  • Best Practices für die Sicherheit von CI/CD-Pipelines, Registrys und Repositorys
  1. Manjunath Bhat, Dale Gardner und Mark Horvath, „How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks“, Gartner, 15. Juli 2021.

Packages de code open-source, modèles IaC (Infrastructure as Code), systèmes de contrôles de version (VCS), pipelines d’intégration et de livraison continues (CI/CD)… les supply chains logicielles obéissent à une mécanique complexe qu’il n’est pas toujours facile d’appréhender.

Parce qu’elles ont un accès direct à du code propriétaire et que seuls quelques maillons les séparent de données sensibles, les supply chains doivent impérativement être protégées. Les récentes attaques qu’elles ont subies semblent d’ailleurs confirmer les prévisions de Gartner® : « d’ici 2025, 45 % des organisations dans le monde auront subi des attaques contre leur supply chain logicielle. »1

Pour vous aider à vous en prémunir, cette checklist revient sur les sept leviers à actionner pour identifier, prioriser et réduire plus rapidement le risque.

Téléchargez la checklist pour découvrir :

  • Les risques de sécurité récurrents à chaque maillon de la supply chain logicielle
  • Les règles de sécurisation de différents composants logiciels tiers
  • Les bonnes pratiques de sécurité pour les pipelines CI/CD, les registres et référentiels de code, etc.
  1. Manjunath Bhat, Dale Gardner et Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, 15 juillet 2021.

Las cadenas de suministro de software están formadas, por un lado, por componentes de software como los paquetes de código abierto y las plantillas de infraestructuras como código (IaC, por sus siglas en inglés) y, por el otro, por ciclos de entrega subyacentes como los asociados a los sistemas de control de versiones y a la integración y entrega continuas (VCS y CI/CD, respectivamente, por sus siglas en inglés).

Dado que las cadenas de suministro de software tienen acceso directo al código propietario y están a un tiro de piedra de los datos confidenciales, resulta crucial protegerlas. Los ataques que han sufrido últimamente son un claro aviso en este sentido y, según las previsiones de Gartner®, «de aquí a 2025, el 45 % de las organizaciones de todo el mundo habrán visto atacadas sus cadenas de suministro de software».1

Esta lista de comprobación incluye siete consideraciones que se han de tener en cuenta a la hora de identificar, priorizar y resolver los riesgos más rápidamente con el fin de prevenir los ataques a la cadena de suministro.

Descárguese la lista de comprobación de la seguridad de la cadena de suministro para descubrir lo siguiente:

  • Los riesgos más comunes en cada una de las capas de las cadenas de suministro de software.
  • Las reglas para proteger los distintos componentes del software de terceros.
  • Las prácticas recomendadas para proteger los ciclos de CI/CD, los registros, los repositorios y otros elementos importantes para la seguridad.
  1. Manjunath Bhat, Dale Gardner y Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks (disponible en inglés), Gartner, 15 de julio de 2021.
LP-3 Sec 1 Content

Le supply chain del software sono formate da componenti software, quali pacchetti open source e modelli Infrastructure as Code (IaC), e dalle pipeline di distribuzione sottostanti, come sistemi di controllo delle versioni (VCS) e pipeline di integrazione continua/distribuzione continua (CI/CD).

Poiché le supply chain del software hanno accesso diretto al codice proprietario e si trovano a breve distanza dai dati sensibili, proteggerle è di fondamentale importanza, come alcuni recenti attacchi hanno evidenziato. Secondo le previsioni di Gartner®, "entro il 2025, il 45% delle organizzazioni a livello mondiale subirà un attacco alla supply chain del software".1

Questa checklist include sette considerazioni importanti non solo per identificare, suddividere in base alla priorità e risolvere più velocemente i rischi, ma anche per prevenire gli attacchi alla sicurezza delle supply chain.

Scarica la Checklist per la sicurezza della supply chain per approfondire la conoscenza di:

  • Rischi comuni per la sicurezza a ogni livello delle supply chain del software.
  • Regole per proteggere vari componenti software di terze parti.
  • Best practice per la sicurezza di pipeline CI/CD, registri, repository e altro.
  1. Manjunath Bhat, Dale Gardner e Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, 15 luglio 2021.

소프트웨어 공급망은 오픈 소스 패키지, 코드형 인프라(IaC) 템플릿 등의 소프트웨어 구성 요소, 그리고 버전 관리 시스템(VCS), 지속적 통합/지속적 전달(CI/CD) 파이프라인과 같은 기본적 전송 파이프라인으로 구성됩니다.

소프트웨어 공급망은 독점적 코드에 직접 액세스할 수 있고 민감한 데이터와도 멀지 않은 위치에 있고, 최근 소프트웨어 공급망 공격에서 이런 사실이 여실히 드러났습니다. Gartner®는 "2025년까지 전 세계 조직의 45%가 소프트웨어 공급망에 대한 공격을 경험할 것"이라고 예측합니다.1

이 체크리스트에서는 더욱 빠르게 위험을 찾아서 우선순위를 설정하고 해결하고, 공급망 보안 공격을 방지하기 위한 7가지 핵심적 고려 사항을 다룹니다.

공급망 보안 체크리스트를 다운로드하고 다음을 확인해 보세요.

  • 소프트웨어 공급망의 각 계층에서 공통적인 보안 위험.
  • 다양한 타사 소프트웨어 구성 요소를 보호하기 위한 규칙.
  • CI/CD 파이프라인, 레지스트리, 리포지토리 보안 모범 사례 등!
  1. Manjunath Bhat, Dale Gardner, and Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, 2021년 7월 15일.

软件供应链由软件组件组成,如开源包和基础架构即代码 (IaC) 模板以及底层交付管道,如版本控制系统 (VCS) 和持续集成/持续交付 (CI/CD) 管道。

因为软件供应链可以直接访问专有代码,并且距离敏感数据只有几个支点,所以保护这些供应链至关重要。最近的软件供应链攻击重点说明了这一事实,Gartner® 预测“到 2025 年,全球 45% 的企业软件供应链都将遭受攻击。”1

该检查清单涵盖七个关键考虑因素,这些因素可以更快速地识别风险,确定风险的优先级,化解风险,以及抵御供应链安全攻击。

下载供应链安全检查清单,了解:

  • 软件供应链每一层的常见安全风险。
  • 保护不同第三方软件组件的规则。
  • CI/CD 管道、注册表、存储库等安全最佳实践!
  1. 看软件工程领导者如何降低软件供应链安全风险;作者:Manjunath Bhat、Dale Gardner 和 Mark Horvath;Gartner,2021 年 7 月 15 日。

軟體供應鏈是由開放原始碼套件和基礎結構即程式碼 (IaC) 範本等軟體元件,以及版本控制系統 (VCS) 和持續整合/持續交付 (CI/CD) 管道等基礎交付管道所組成。

由於軟體供應鏈能夠直接存取專屬程式碼,而且距離敏感數據只有幾步之遙,因此確保其安全性至關重要。近來的軟體供應鏈攻擊也突顯了這項情況,而且 Gartner® 預測「到 2025 年時,全球有 45% 企業的軟體供應鏈將會遭遇攻擊。」1

本檢查清單涵蓋七個關鍵的考慮因素,可以更快地識別、排定優先順序並處理風險,同時預防針對供應鏈安全性的攻擊。

下載供應鏈安全性檢查清單以了解:

  • 軟體供應鏈各個層級的常見安全風險。
  • 保護不同第三方軟體元件的規則。
  • CI/CD 管道、登錄及儲存庫等項目的安全最佳實務!
  1. Manjunath Bhat、Dale Gardner 和 Mark Horvath,How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks,Gartner,2021 年 7 月 15 日。
LP-3 Sec 1 Content

As cadeias de suprimentos de software são compostas de componentes de software, como pacotes de código aberto e modelos de infraestrutura como código (IaC), bem como pipelines de entrega subjacentes, como sistemas de controle de versão (VCS) e pipelines de integração contínua/entrega contínua (CI/CD).

Como as cadeias de suprimentos de software têm acesso direto ao código proprietário e estão a apenas alguns pivôs dos dados confidenciais, protegê-los é crucial. Ataques recentes à cadeia de suprimentos de software destacaram esse fato, e a Gartner® prevê que “até 2025, 45% das organizações em todo o mundo sofrerão ataques em suas cadeias de suprimentos de software”.1

Esta lista de verificação abrange sete considerações importantes para identificar, priorizar e abordar os riscos mais rapidamente e prevenir ataques à segurança da cadeia de suprimentos.

Baixe a Lista de verificação sobre Segurança da cadeia de suprimentos para conhecer:

  • Riscos de segurança comuns em cada camada das cadeias de suprimentos de software.
  • Regras para proteção de diferentes componentes de software de terceiros.
  • Práticas recomendadas de segurança para pipelines CI/CD, registros, repositórios e muito mais!
  1. Manjunath Bhat, Dale Gardner, and Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, 15 de julho de 2021.

Secure your software supply chain

Schützen Sie Ihre Softwarelieferkette

Sécurisez votre supply chain logicielle

Proteja su cadena de suministro de software

EDIT ME

Proteggi la tua supply chain del software

소프트웨어 공급망 보안

保护软件供应链

保護您的軟體供應鏈

EDIT ME

Proteja sua cadeia de suprimentos de software