OpenSSF tilføjer Software Supply Chain Tracks til SLSA Framework

Open Source Security Foundation (OpenSSF) har udgivet v1.0 af Supply-chain Levels for Software Artifacts (SLSA) med specifikke bestemmelser for softwareforsyningskæden.

Moderne applikationsudviklingsteams genbruger regelmæssigt kode fra andre applikationer og trækker kodekomponenter og udviklerværktøjer fra utallige kilder. Forskning fra Snyk og Linux Foundation sidste år viste, at 41% af organisationerne didn’t have high confidence in open source software security. Med supply chain-angreb, der udgør en altid tilstedeværende og stadigt udviklende trussel, erkender både softwareudviklingsteams og sikkerhedsteams nu, at open source-komponenter og -frameworks skal sikres.

SLSA is a community-driven supply chain security standards project backed by major technology companies, such as Google, Intel, Microsoft, VMware, and IBM. SLSA focuses on increasing security rigor within the software development process. Developers can follow SLSA’s guidelines to make their software supply chain more secure, and enterprises can use SLSA to make decisions about whether to trust a software package, according to the Open Source Security Foundation.

SLSA giver et fælles ordforråd til at tale om softwareforsyningskædesikkerhed; en måde for udviklere at vurdere upstream-afhængigheder ved at evaluere troværdigheden af ​​kildekode, builds og containerbilleder, der bruges i applikationen; en handlingsvenlig sikkerhedstjekliste; og en måde at måle overholdelse af det kommende Secure Software Development Framework (SSDF).

SLSA v1.0-udgivelsen opdeler SLSA's niveaukrav i flere spor, der hver måler et bestemt aspekt af softwareforsyningskædesikkerhed. De nye spor vil hjælpe brugerne med bedre at forstå og mindske de risici, der er forbundet med softwareforsyningskæder og i sidste ende udvikle, demonstrere og bruge mere sikker og pålidelig software, siger OpenSSF. SLSA v1.0 giver også mere eksplicit vejledning om, hvordan man verificerer herkomst, sammen med at foretage tilsvarende ændringer i specifikationen og herkomstformatet.

Byg spor Niveauer 1-3, som nogenlunde svarer til niveauer 1-3 i tidligere SLSA-versioner, beskriver niveauer af beskyttelse mod manipulation under eller efter softwareopbygning. Build Track-kravene afspejler de krævede opgaver: produktion af artefakter, verificering af byggesystemer og verifikation af artefakter. Fremtidige versioner af rammen vil bygge på krav til andre aspekter af softwareleverancens livscyklus.

Byg L1 angiver herkomst, viser hvordan pakken blev bygget; Byg L2 angiver underskrevet herkomst, genereret af en hostet byggetjeneste; og Build L3 angiver, at build-tjenesten er blevet hærdet.

Jo højere niveauet er, jo højere er tilliden til, at en pakke kan spores tilbage til sin kilde og ikke er blevet manipuleret med, sagde OpenSSF.

Software supply chain security is a key component of the Biden administration’s USAs nationale cybersikkerhedsstrategi, as it pushes software providers to assume greater responsibility for the security of their products. And recently, 10 government agencies from seven countries (Australia, Canada, Germany, the Netherlands, New Zealand, the United Kingdom, and the United States) released new guidelines, “Forskydning af balancen mellem cybersikkerhedsrisiko: principper og tilgange til design-og -standardsikkerhed,” to urge software developers to take necessary steps to ensure they are shipping products that are both secure by design and by default. That means removing default passwords, writing in safer programming languages, and establishing vulnerability disclosure programs for reporting flaws.

Som en del af sikringen af ​​softwareforsyningskæden bør sikkerhedsteams samarbejde med udviklere for at uddanne dem om sikker kodningspraksis og skræddersy træning i sikkerhedsbevidsthed til at inkludere risiciene omkring softwareudviklingens livscyklus.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Kilde: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework