أصدرت مؤسسة أمان المصدر المفتوح (OpenSSF) الإصدار 1.0 من مستويات سلسلة التوريد الخاصة بالبرامج (SLSA) مع أحكام محددة لسلسلة توريد البرامج.
تعيد فرق تطوير التطبيقات الحديثة بانتظام استخدام الكود من التطبيقات الأخرى وتسحب مكونات الكود وأدوات المطور من مصادر لا تعد ولا تحصى. وجد بحث من Snyk ومؤسسة Linux العام الماضي أن 41٪ من المنظمات لم يكن لديه ثقة عالية في أمان البرامج مفتوحة المصدر. نظرًا لأن هجمات سلسلة التوريد تشكل تهديدًا دائمًا ومتطورًا باستمرار ، تدرك فرق تطوير البرامج وفرق الأمان الآن أن مكونات وأطر العمل مفتوحة المصدر بحاجة إلى الحماية.
SLSA هو مشروع معايير أمان لسلسلة التوريد يحركه المجتمع تدعمه شركات التكنولوجيا الكبرى ، مثل Google و Intel و Microsoft و VMware و IBM. تركز SLSA على زيادة الدقة الأمنية في عملية تطوير البرامج. يمكن للمطورين اتباع إرشادات SLSA لجعل سلسلة توريد البرامج الخاصة بهم أكثر أمانًا ، ويمكن للمؤسسات استخدام SLSA لاتخاذ قرارات بشأن ما إذا كان ينبغي الوثوق بحزمة البرامج ، وفقًا لمؤسسة Open Source Security Foundation.
يوفر SLSA مفردات مشتركة للحديث عن أمان سلسلة توريد البرامج ؛ طريقة للمطورين لتقييم التبعيات الأولية من خلال تقييم مصداقية كود المصدر ، والبنيات ، وصور الحاويات المستخدمة في التطبيق ؛ قائمة تدقيق أمنية قابلة للتنفيذ ؛ وطريقة لقياس الامتثال لإطار عمل تطوير البرمجيات الآمنة (SSDF) القادم.
إصدار SLSA v1.0 يقسم متطلبات مستوى SLSA إلى مسارات متعددة ، كل منها يقيس جانبًا معينًا من أمان سلسلة توريد البرامج. ستساعد المسارات الجديدة المستخدمين على فهم المخاطر المرتبطة بسلاسل إمداد البرامج بشكل أفضل والتخفيف من حدتها ، وفي النهاية تطوير برامج أكثر أمانًا وموثوقية وعرضها واستخدامها ، كما يقول OpenSSF. يوفر SLSA v1.0 أيضًا إرشادات أكثر وضوحًا حول كيفية التحقق من المصدر ، إلى جانب إجراء تغييرات مقابلة على المواصفات وتنسيق المصدر.
• بناء المسار المستويات 1-3 ، والتي تتوافق تقريبًا مع المستويات 1-3 في إصدارات SLSA السابقة ، تصف مستويات الحماية ضد العبث أثناء إنشاء البرنامج أو بعده. تعكس متطلبات مسار البناء المهام المطلوبة: إنتاج القطع الأثرية ، والتحقق من أنظمة البناء ، والتحقق من القطع الأثرية. ستبني الإصدارات المستقبلية من إطار العمل على متطلبات معالجة الجوانب الأخرى لدورة حياة توصيل البرامج.
يشير البناء L1 إلى المصدر ، ويوضح كيف تم بناء الحزمة ؛ يشير البناء L2 إلى المصدر الموقع ، الذي تم إنشاؤه بواسطة خدمة بناء مستضافة ؛ ويشير Build L3 إلى أنه تم تقوية خدمة البناء.
قال OpenSSF إنه كلما ارتفع المستوى ، زادت الثقة في إمكانية إرجاع الحزمة إلى مصدرها وعدم العبث بها.
أمن سلسلة توريد البرمجيات هو عنصر أساسي في إدارة بايدن استراتيجية الأمن السيبراني الوطنية الأمريكية ، لأنه يدفع مزودي البرامج إلى تحمل مسؤولية أكبر عن أمان منتجاتهم. ومؤخراً ، أصدرت 10 وكالات حكومية من سبع دول (أستراليا ، وكندا ، وألمانيا ، وهولندا ، ونيوزيلندا ، والمملكة المتحدة ، والولايات المتحدة) إرشادات جديدة ، "تحويل ميزان مخاطر الأمن السيبراني: مبادئ وأساليب الأمن حسب التصميم والافتراض، لحث مطوري البرامج على اتخاذ الخطوات اللازمة للتأكد من أنهم يشحنون منتجات آمنة حسب التصميم وبشكل افتراضي. وهذا يعني إزالة كلمات المرور الافتراضية ، والكتابة بلغات برمجة أكثر أمانًا ، وإنشاء برامج للكشف عن الثغرات الأمنية للإبلاغ عن العيوب.
كجزء من تأمين سلسلة توريد البرمجيات ، يجب أن تشارك فرق الأمان مع المطورين لتثقيفهم حول ممارسات التشفير الآمن وتصميم تدريب للتوعية الأمنية ليشمل المخاطر المحيطة بدورة حياة تطوير البرمجيات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :لديها
- :يكون
- :ليس
- 10
- 7
- a
- من نحن
- وفقا
- العنوان
- يضيف
- إدارة
- بعد
- ضد
- وكالات
- على طول
- أيضا
- an
- و
- تطبيق
- تطوير التطبيقات
- التطبيقات
- اقتراب
- هي
- AS
- جانب
- الجوانب
- أسوشيتد
- الهجمات
- أستراليا
- وعي
- الى الخلف
- المدعومة
- الرصيد
- BE
- كان
- أفضل
- بايدن
- إدارة بايدن
- على حد سواء
- نساعدك في بناء
- يبني
- بنيت
- by
- CAN
- كندا
- سلسلة
- السلاسل
- التغييرات
- الكود
- البرمجة
- مشترك
- المجتمع مدفوعة
- الشركات
- الالتزام
- عنصر
- مكونات
- الثقة
- وعاء
- المقابلة
- دولة
- الأمن السيبراني
- دورة
- القرارات
- الترتيب
- التوصيل
- شرح
- تصميم
- تطوير
- المطور
- المطورين
- التطوير التجاري
- إفشاء
- أثناء
- كل
- في وقت سابق
- تثقيف
- جذاب
- ضمان
- الشركات
- تأسيس
- تقييم
- العيوب
- ويركز
- اتباع
- في حالة
- شكل
- قادم، صريح، يظهر
- وجدت
- دورة تأسيسية
- الإطار
- الأطر
- تبدأ من
- مستقبل
- ولدت
- ألمانيا
- شراء مراجعات جوجل
- حكومة
- أكبر
- توجيه
- المبادئ التوجيهية
- يملك
- مساعدة
- مرتفع
- أعلى
- استضافت
- كيفية
- كيفية
- HTML
- HTTPS
- IBM
- صور
- in
- تتضمن
- في ازدياد
- يشير
- إنتل
- إلى
- IT
- انها
- JPG
- القفل
- مملكة
- L1
- l2
- اللغات
- اسم العائلة
- العام الماضي
- مستوى
- ومستوياتها
- الحياة
- لينكس
- مؤسسة لينكس
- رائد
- جعل
- القيام ب
- يعني
- قياس
- قياس
- مایکروسافت
- تخفيف
- الأكثر من ذلك
- متعدد
- محليات
- ضروري
- حاجة
- هولندا
- جديد
- نيوزيلاندا
- الآن
- of
- on
- ONE
- جاكيت
- المصدر المفتوح
- or
- المنظمات
- أخرى
- صفقة
- جزء
- خاص
- كلمات السر
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- الممارسات
- مبادئ
- عملية المعالجة
- المنتجات
- برمجة وتطوير
- لغات البرمجة
- البرامج
- تنفيذ المشاريع
- الحماية
- مصدر
- مقدمي
- ويوفر
- مؤخرا
- الاعتراف
- تعكس
- بانتظام
- صدر
- الخدمة الموثوقة
- إزالة
- التقارير
- مطلوب
- المتطلبات الأساسية
- بحث
- مسؤولية
- إعادة استخدام
- المخاطرة
- المخاطر
- تقريبا
- s
- أكثر أمانا
- قال
- يقول
- تأمين
- مضمون
- تأمين
- أمن
- الوعي الأمني
- الخدمة
- سبعة
- الشحن
- ينبغي
- وقعت
- تطبيقات الكمبيوتر
- مطوري البرامج
- تطوير البرمجيات
- مصدر
- شفرة المصدر
- مصادر
- محدد
- مواصفة
- المعايير
- المحافظة
- خطوات
- الإستراتيجيات
- هذه
- تزويد
- سلسلة التوريد
- سلاسل التوريد
- المحيط
- أنظمة
- أخذ
- حديث
- المهام
- فريق
- تكنولوجيا
- شركات التكنولوجيا
- أن
- •
- هولندا
- المملكة المتحدة
- من مشاركة
- منهم
- هم
- التهديد
- إلى
- أدوات
- مسار
- قادة الإيمان
- الثقة
- في النهاية
- فهم
- متحد
- المملكة المتحدة
- الولايات المتحدة
- تستخدم
- مستعمل
- المستخدمين
- v1
- تحقق من
- التحقق
- في إم وير
- الضعف
- وكان
- طريق..
- سواء
- التي
- سوف
- مع
- في غضون
- جاري الكتابة
- عام
- نيوزيلندا
- زفيرنت