18 mei 2022 – Jetstack, een Venafi-bedrijf gespecialiseerd in cloud, open source en strategisch advies, introduceert een interactieve gebruiksvriendelijke toolkit voor het beveiligen van software supply chains. Deze webgebaseerde visuele oplossing is ontworpen om organisaties te helpen bij het evalueren en plannen van de benodigde stappen voor een effectieve beveiliging van hun software supply chain. Het beveiligen van software supply chains wordt voor alle organisaties een kritischer vraagstuk. Sinds de aanval op SolarWinds eind 2020, die ruim 1.800 bedrijven heeft getroffen, is het aantal aanvallen op software supply chains in 2021 met meer dan 300 procent toegenomen.
De Software Supply Chain toolkit van Jetstack consolideert adviezen en aanbevelingen uit meerdere bronnen en whitepapers, die elk uitgebreide richtlijnen bieden voor het beveiligen van de software supply chain, waaronder:
- CNCF: ‘Software Supply Chain Best Practices’ whitepaper
- Linux Foundation: SLSA (Supply-chain Levels for Software Artifacts)
- NIST: Guidance on Executive Order 14028 Improving Software Supply Chain Security
- Venafi: blueprint for building secure software development pipelines
Jetstack’s toolkit presenteert de richtlijnen van deze raamwerken verdeeld over vier deelgebieden: build pipelines, broncode, provenance en deployment.
De aanbevelingen uit elke sectie bevatten zowel inzichten naar prioriteit en complexiteit, als links naar de originele open source toolsets die kunnen helpen bij die specifieke aanbeveling.
“Steeds meer organisaties begrijpen de urgentie en het belang van het verbeteren van de beveiliging van alle software die ze gebruiken en zelf ontwikkelen,” zegt Matthew Bates, chief technology officer van Jetstack. “Het is echter een grote uitdaging om alle veranderingen die nodig zijn te identificeren en te prioriteren en tegelijkertijd de concurrerende prioriteiten van ontwikkel- en securitycommunities te managen. In de praktijk is het erg moeilijk om te ontdekken hoe je de ontwikkelsnelheid kunt blijven verbeteren en de tijd tot implementatie kunt verkorten, terwijl je tegelijkertijd de controle, zichtbaarheid en beveiliging moet verbeteren. Onze toolkit helpt ontwikkel- en beveiligingsteams snel uit te vinden waar ze moeten starten door de moeilijkheidsgraad en impact in kaart te brengen die gerelateerd zijn aan specifieke beveiligingscontroles.”
“Aanvallen op de software supply chain richten zich op een breed scala aan kwetsbaarheden en verschillende momenten in de levenscyclus van software”, zegt Steve Judd, senior solutions architect bij Jetstack en ontwikkelaar van de toolkit. “Om die aanvallen te voorkomen of tegen te houden zijn veel meer controles nodig dan alleen een software bill of materials (SBOMs), wat slechts een van de 54 aanbevelingen is. Deze Software Supply Chain toolkit is een nieuwe vorm van samenwerking met de open source community, om de markt te helpen bij het ontwikkelen van proactieve en preventieve oplossingen die speciaal zijn gebouwd voor bestaande en opkomende ontwikkelprocessen.”
Bekijk de toolkit op: https://jetstack.io/software-supply-chain/
Over Jetstack
Jetstack is een Venafi-bedrijf gespecialiseerd in cloud native producten en strategisch advies. Ze werken nauw samen met organisaties die Kubernetes en OpenShift gebruiken. Venafi is marktleider in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen.
Jetstack is een open source pionier met een onderscheidende erkenning in de markt als de ontwikkelaar van cert-manager, de open source industriestandaard voor cloud native machine identity management. Jetstack’s open source producten en oplossingen beschermen de applicatie-omgevingen en platforminfrastructuren van wereldwijde banken, multinationale retailers en overheidsorganisaties. Venafi en Jetstack zijn beide pioniers op het gebied van ‘enterprise machine identity security’. Jetstack biedt ontwikkel- en securityteams de kracht om hun cloud native infrastructuur te bouwen, te schalen en te beveiligen, voor het automatiseren van de software- ontwikkelingen, workload security en het innoveren van applicaties.