Sécurité de la chaîne d'approvisionnement des logiciels

Book description

Cet ouvrage a été traduit à l'aide de l'IA. Tes réactions et tes commentaires sont les bienvenus : translation-feedback@oreilly.com

Des billions de lignes de code nous aident dans nos vies, nos entreprises et nos organisations. Mais une seule vulnérabilité de cybersécurité logicielle peut empêcher des entreprises entières de faire des affaires et causer des milliards de dollars en perte de revenus et en reprise d'activité. La sécurisation de la création et du déploiement des logiciels, également connue sous le nom de sécurité de la chaîne d'approvisionnement des logiciels, va bien au-delà du processus de développement des logiciels.

Ce livre pratique te donne un aperçu complet des risques de sécurité et identifie les contrôles pratiques que tu dois intégrer à ta chaîne d'approvisionnement en logiciels de bout en bout. L'auteur Cassie Crossley montre comment et pourquoi toutes les personnes impliquées dans la chaîne d'approvisionnement doivent participer si ton organisation veut améliorer la sécurité de ses logiciels, de ses microprogrammes et de son matériel.

Avec ce livre, tu apprendras à :

  • Identifier les risques de cybersécurité dans chaque partie de la chaîne d'approvisionnement en logiciels de ton organisation.
  • Identifier les rôles qui participent à la chaîne d'approvisionnement, notamment l'informatique, le développement, les opérations, la fabrication et l'approvisionnement.
  • Concevoir des initiatives et des contrôles pour chaque partie de la chaîne d'approvisionnement en utilisant les cadres et les références existants.
  • Mettre en œuvre un cycle de développement sécurisé, la sécurité du code source, la gestion de la construction des logiciels et les pratiques de transparence des logiciels.
  • Évaluer les risques liés aux tiers dans ta chaîne d'approvisionnement

Table of contents

  1. Avant-propos
  2. Préface
    1. Qui devrait lire ce livre ?
    2. Pourquoi j'ai écrit ce livre
    3. Naviguer dans ce livre
    4. Conventions utilisées dans ce livre
    5. Apprentissage en ligne O'Reilly
    6. Comment nous contacter
    7. Remerciements
  3. 1. Sécurité de la chaîne d'approvisionnement
    1. Définitions de la chaîne d'approvisionnement
    2. Impacts sur la sécurité de la chaîne d'approvisionnement des logiciels
    3. Exigences, lois, règlements et directives
    4. Résumé
  4. 2. Cadres et normes de la chaîne d'approvisionnement
    1. Cadres de gestion des risques technologiques
      1. NIST SP 800-37 Cadre de gestion des risques (RMF)
      2. ISO 31000:2018 Gestion des risques
      3. Objectifs de contrôle pour les technologies de l'information et les technologies connexes (COBIT®) 2019
      4. Cadre de cybersécurité du NIST (CSF)
    2. Cadres et normes de la chaîne d'approvisionnement
      1. NIST SP 800-161 Gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité pour les systèmes et les organisations.
      2. Cadre d'assurance des fournisseurs du Royaume-Uni
      3. Cadre de travail MITRE System of Trust™ (SoT)
      4. ISO/IEC 20243-1:2023 Norme sur les fournisseurs de technologies de confiance ouverts
      5. SCS 9001 Norme de sécurité de la chaîne d'approvisionnement
      6. ISO 28000:2022 Sécurité et résilience
      7. ISO/IEC 27036 Sécurité de l'information pour les relations avec les fournisseurs
    3. Considérations sur le cadre et les normes Résumé
    4. Résumé
  5. 3. Sécurité de l'infrastructure dans le cycle de vie du produit
    1. Environnements du développeur
    2. Dépôts de code et plateformes de construction
    3. Outils de développement
    4. Laboratoires et environnements de test
    5. Environnements de préproduction et de production
    6. Lieux de distribution et de déploiement des logiciels
    7. Environnements de fabrication et de chaîne d'approvisionnement
    8. Mise en scène des clients pour les tests d'acceptation
    9. Systèmes et outils de service
    10. Résumé
  6. 4. Cycle de développement sécurisé
    1. Éléments clés d'un SDL
      1. Exigences en matière de sécurité
      2. Conception sécurisée
      3. Développement sécurisé
      4. Test de sécurité
      5. Gestion de la vulnérabilité
    2. Compléter un SDLC avec SDL
      1. ISA/IEC 62443-4-1 Cycle de développement sécurisé
      2. NIST SSDF
      3. Microsoft SDL
      4. ISO/IEC 27034 Sécurité des applications
      5. SAFECode
      6. Considérations sur le SDL pour l'IoT, l'OT et les systèmes embarqués
    3. Mesures de la sécurité des produits et des applications
    4. Résumé
  7. 5. Gestion du code source, de la construction et du déploiement
    1. Types de code source
      1. Source ouverte
      2. Commercial
      3. Propriétaire
      4. Systèmes d'exploitation et cadres de travail
      5. Low-Code/No-Code
      6. Code source de l'IA générative
    2. Qualité du code
      1. Normes de codage sécurisées
      2. Technologies d'analyse des logiciels
      3. Critiques du code
    3. Intégrité du code source
      1. Gestion du changement
      2. Code source fiable
      3. Dépendances de confiance
    4. Gestion de la construction
      1. Authentification et autorisation
      2. Scripts de construction et automatisation
      3. Répétabilité et reproductibilité
      4. Signature du code
    5. Gestion du déploiement
    6. Résumé
  8. 6. Cloud et DevSecOps
    1. Cadres, contrôles et évaluations en matière de cloud.
      1. ISO/IEC 27001 Systèmes de gestion de la sécurité de l'information
      2. Cloud Security Alliance CCM et CAIQ
      3. Programme STAR de la Cloud Security Alliance
      4. Institut américain des CPA SOC 2
      5. FedRAMP américain
      6. Considérations et exigences en matière de sécurité du Cloud
    2. DevSecOps
      1. Gestion du changement pour le Cloud
      2. Conception et développement sécurisés pour les applications Cloud.
      3. Sécurité de l'API
      4. Test
      5. Déployer une infrastructure et des applications immuables
      6. Sécuriser les connexions
      7. Fonctionnement et surveillance
      8. Ingénierie de la fiabilité des sites
    3. Résumé
  9. 7. Propriété intellectuelle et données
    1. Classification des données
    2. Les gens
    3. Technologie
      1. Sécurité des données
      2. Perte de codes, de clés et de secrets
      3. Défauts de conception
      4. Erreurs de configuration
      5. Interfaces de programmation d'applications (API)
      6. Vulnérabilités
    4. Résumé
  10. 8. Transparence des logiciels
    1. Cas d'utilisation de la transparence des logiciels
    2. Nomenclature du logiciel (SBOM)
      1. Formats du SBOM
      2. Éléments du SBOM
      3. Limites du SBOM
      4. Nomenclatures supplémentaires (BOM)
    3. Divulgation des vulnérabilités
    4. Autres approches en matière de transparence
      1. Formulaire commun d'attestation de développement de logiciels sécurisés de l'US CISA
      2. Intégrité, transparence et confiance de la chaîne d'approvisionnement (SCITT)
      3. Nomenclature numérique et mécanismes de partage
      4. Graphique de compréhension de la composition des artefacts (GUAC)
      5. Attestation In-Toto
      6. Provenance du logiciel
      7. Pratiques et technologie
    5. Résumé
  11. 9. Fournisseurs
    1. Évaluations cybernétiques
      1. Réponses à l'évaluation
      2. Recherche
      3. Sécurité informatique, y compris la sécurité environnementale
      4. Organisation de la sécurité des produits et des applications
      5. Processus de sécurité des produits et cycle de développement sécurisé
      6. Formation
      7. Développement sécurisé et tests de sécurité
      8. Gestion de la construction, DevSecOps et gestion de la mise en production.
      9. Analyse, gestion des vulnérabilités, correctifs et accords de niveau de service (SLA)
      10. Applications et environnements Cloud
      11. Services de développement
      12. Fabrication
    2. Accords, contrats et avenants cybernétiques
    3. Gestion continue des fournisseurs
      1. Surveillance
      2. Critiques des fournisseurs
      3. Droit de vérification et d'évaluation
    4. Résumé
  12. 10. Sécurité de la fabrication et des appareils
    1. Sécurité des fournisseurs et de la fabrication
      1. Configurations de l'équipement, des systèmes et de la sécurité du réseau.
      2. Sécurité physique
    2. Intégrité du code, du logiciel et du microprogramme
      1. Tests d'intégrité
      2. Contrefaçons
    3. Chaîne de contrôle
    4. Mesures de protection des appareils
      1. Firmware Public Key Infrastructure (PKI)
      2. Racine de confiance du matériel
      3. Amorçage sécurisé
      4. Élément sécurisé
      5. Authentification de l'appareil
    5. Résumé
  13. 11. Les personnes dans la chaîne d'approvisionnement en logiciels
    1. Structures organisationnelles de la cybersécurité
    2. Champions de la sécurité
    3. Sensibilisation et formation à la cybersécurité
    4. Équipe de développement
      1. Cycle de développement sécurisé (SDL)
      2. Gestion du code source
      3. DevSecOps et Cloud
      4. Événements de capture du drapeau
    5. Fournisseurs tiers
    6. Fabrication et distribution
    7. Projets clients et services sur le terrain
    8. Utilisateurs finaux
    9. Résumé
  14. Annexe. Contrôles de sécurité
    1. Contrôles de sécurité de l'infrastructure
    2. Contrôles du cycle de développement sécurisé
    3. Contrôles du code source, de la construction et du déploiement
    4. Contrôles du Cloud
    5. Propriété intellectuelle et contrôle des données
    6. Contrôles de transparence des logiciels
    7. Contrôles des fournisseurs
    8. Contrôles de sécurité de la fabrication et des appareils
    9. Contrôle des personnes
  15. Index
  16. A propos de l'auteur

Product information

  • Title: Sécurité de la chaîne d'approvisionnement des logiciels
  • Author(s): Cassie Crossley
  • Release date: November 2024
  • Publisher(s): O'Reilly Media, Inc.
  • ISBN: 9798341619883