SolarWinds gibt Ausrichtung seines Next-Generation Build System am NIST Secure Software Development Framework bekannt
SolarWinds hat 2021 seine Secure by Design-Initiative als Reaktion auf SUNBURST ins Leben gerufen. Die mehrgleisige strategische Initiative umfasst proprietäre Technologien, Produkte und Prozesse, die das Unternehmen und die gesamte Branche weiter stärken sollen. Ein zentraler Bestandteil der Initiative ist das Next-Generation Build System des Unternehmens: Mit einem einzigartigen parallelen Build-Prozess wird Software in mehreren sicheren, duplizierten und flüchtigen Umgebungen entwickelt.
„Die SSDF-Richtlinien werden ein wichtiger Schritt sein, um die Cybersicherheit der USA insgesamt zu verbessern“, sagt Tim Brown, Chief Information Security Officer und VP of Security bei SolarWinds. „Wir haben die Secure by Design-Initiative bei SolarWinds mit dem Ziel gestartet, führend im Bereich der Sicherheit von Unternehmenssoftware zu werden. Dazu gehört der Schritt, unsere Softwareentwicklungsprozesse an das Secure Software Development Framework von NIST und das Enduring Security Framework von CISA anzugleichen, wie es von der National Cybersecurity Strategy empfohlen wird.“
Das Next-Generation Build System von SolarWinds hält die empfohlenen Standards des NIST Secure Software Development Framework durchgehend ein oder übertrifft sie:
- Parallele Ausführung von Software-Builds in drei isolierten, unterschiedlichen Build-Umgebungen; jeder Build-Schritt wird signiert und verifiziert, bevor er eine sichere Validierungsumgebung durchläuft, in der vor der Produktveröffentlichung mehrere Scans und Sicherheitsprüfungen durchgeführt werden
- Über Zero Trust hinausgehende Einführung und Implementierung einer Assume-Breach-Herangehensweise, die implizites Vertrauen in Anwendungen und Dienste vermeidet
- Nutzung flüchtiger Vorgänge im Softwareentwicklungsprozess, um Abhängigkeiten zu vermeiden und Bedrohungsakteuren keine Möglichkeit zu bieten, eine „Homebase“ in Systemen aufzubauen
- Bereitstellung automatisierter Tools, die regelmäßig Schwachstellenscans im gesamten Entwicklungsprozess durchführen, einschließlich Open-Source-Software-Schwachstellenprüfungen, statischen Code-Analysen und dynamischen Anwendungssicherheitstests
- Erstellung einer Software Bill of Materials (SBOM), die einen umfassenden Überblick über alle im Build-Prozess genutzten Komponenten, Bibliotheken, Tools und Prozesse bietet
- Befolgung verantwortungsbewusster Offenlegungsprotokolle für verifizierte und validierte Schwachstellen
Im Mai 2021 hat Präsident Biden die Executive Order 14028 mit dem Ziel unterzeichnet, robustere Cybersicherheitsstandards in der US-Regierung umzusetzen und die Software-Lieferkette zu verbessern. Die Executive Order wies NIST an, Richtlinien für Zero-Trust-Architekturen und Frameworks zu entwickeln, um die Sicherheit von Software-Lieferketten zu erhöhen. Gleichzeitig wurde das Office of Management and Budget (OMB) angewiesen, zur Einhaltung der NIST-Richtlinien aufzufordern.
Zusätzliche Ressourcen
- Executive Order on Improving the Nation’s Cybersecurity (EO 14028)
- Secure Software Development Framework Version 1.1 (SSDF)
- Enduring Security Framework (ESF)
- Enhancing the Security of the Software Supply Chain through Secure SoftwareDevelopment Practices (M-22-18)
- Die Maßnahmen von SolarWinds zur sicheren Softwareentwicklung
- Whitepaper: Das Next-Generation-Build-System
- Secure by Design-Ressourcen-Center
Kontakt zu SolarWinds
#SWI
#SWIcorporate
#SWIproducts
SolarWinds (NYSE:SWI) ist ein führender Anbieter einfacher, leistungsstarker und sicherer Observability- und IT-Management-Software, mit der Kunden die digitale Transformation vorantreiben können. Unsere Lösungen bieten Unternehmen auf der ganzen Welt unabhängig von Typ, Größe oder Komplexität eine umfassende, zentrale Sicht auf die modernen, verteilten und hybriden Netzwerkumgebungen von heute. Wir sind im ständigen Austausch mit Experten für IT-Service und ‑Betrieb, DevOps- und SecOps-Experten und Datenbankadministratoren (DBAs), um herauszufinden, welchen Herausforderungen sie bei der Verwaltung leistungsfähiger und hochverfügbarer hybrider IT-Infrastrukturen, ‑Anwendungen und ‑Umgebungen gegenüberstehen. Mithilfe der Erkenntnisse aus diesem Austausch, beispielsweise in unserer THWACK-Community, können wir die Anforderungen unserer Kunden jetzt und in Zukunft erfüllen. Unser Schwerpunkt auf den Benutzer und unser Engagement für Spitzenleistungen in der End-to-End-Verwaltung in der hybriden IT haben SolarWinds zu einem weltweit führenden Anbieter von Lösungen für Observability, IT-Servicemanagement, Anwendungsleistung und Datenbankmanagement gemacht. Weitere Informationen finden Sie unter www.solarwinds.com/de.
Die Marken SolarWinds, SolarWinds & Design, Orion und THWACK stehen im alleinigen Eigentum der SolarWinds Worldwide, LLC oder ihrer verbundenen Unternehmen, sind im U.S. Patent and Trademark Office eingetragen und können in anderen Ländern eingetragen oder angemeldet sein. Alle sonstigen Marken, Dienstleistungsmarken und Logos von SolarWinds können Marken nach nicht kodifiziertem Recht, eingetragen oder angemeldet sein. Alle sonstigen hier erwähnten Marken dienen lediglich zu Identifikationszwecken und sind Marken oder eingetragene Marken der jeweiligen Unternehmen.
© 2023 SolarWinds Worldwide, LLC. Alle Rechte vorbehalten.
SolarWinds Software Germany GmbH
Alt-Moabit 73
10555 Berlin
Telefon: +49 (30) 39063450
http://www.solarwinds.com/de/
Consultant Content & PR
Telefon: +49 (176) 19837027
E-Mail: lukas.hochgesang@archetype.co
Telefon: +49 (30) 3906345-62
E-Mail: pr@solarwinds.com