Το OpenSSF προσθέτει κομμάτια αλυσίδας εφοδιασμού λογισμικού στο SLSA Framework

Το Ίδρυμα Ανοιχτού Κώδικα Ασφάλειας (OpenSSF) κυκλοφόρησε την έκδοση 1.0 των Επιπέδων αλυσίδας εφοδιασμού για τεχνουργήματα λογισμικού (SLSA) με συγκεκριμένες διατάξεις για την αλυσίδα εφοδιασμού λογισμικού.

Οι σύγχρονες ομάδες ανάπτυξης εφαρμογών επαναχρησιμοποιούν τακτικά κώδικα από άλλες εφαρμογές και αντλούν στοιχεία κώδικα και εργαλεία προγραμματιστή από μυριάδες πηγές. Έρευνα από το Snyk και το Ίδρυμα Linux πέρυσι διαπίστωσε ότι το 41% ​​των οργανισμών δεν είχε μεγάλη εμπιστοσύνη στην ασφάλεια λογισμικού ανοιχτού κώδικα. Με τις επιθέσεις της εφοδιαστικής αλυσίδας να αποτελούν μια διαρκώς παρούσα και συνεχώς εξελισσόμενη απειλή, τόσο οι ομάδες ανάπτυξης λογισμικού όσο και οι ομάδες ασφαλείας αναγνωρίζουν πλέον ότι τα στοιχεία και τα πλαίσια ανοιχτού κώδικα πρέπει να ασφαλιστούν.

Το SLSA είναι ένα έργο προτύπων ασφάλειας εφοδιαστικής αλυσίδας με γνώμονα την κοινότητα και υποστηρίζεται από μεγάλες εταιρείες τεχνολογίας, όπως η Google, η Intel, η Microsoft, η VMware και η IBM. Το SLSA εστιάζει στην αύξηση της αυστηρότητας της ασφάλειας κατά τη διαδικασία ανάπτυξης λογισμικού. Οι προγραμματιστές μπορούν να ακολουθήσουν τις οδηγίες της SLSA για να κάνουν την αλυσίδα εφοδιασμού λογισμικού τους πιο ασφαλή και οι επιχειρήσεις μπορούν να χρησιμοποιήσουν το SLSA για να λάβουν αποφάσεις σχετικά με το αν θα εμπιστευτούν ένα πακέτο λογισμικού, σύμφωνα με το Open Source Security Foundation.

Το SLSA παρέχει ένα κοινό λεξιλόγιο για να μιλήσουμε για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού. ένας τρόπος για τους προγραμματιστές να αξιολογούν τις ανοδικές εξαρτήσεις αξιολογώντας την αξιοπιστία του πηγαίου κώδικα, των εκδόσεων και των εικόνων κοντέινερ που χρησιμοποιούνται στην εφαρμογή. μια λίστα ελέγχου ασφαλείας με δυνατότητα δράσης· και έναν τρόπο μέτρησης της συμμόρφωσης με το προσεχές Πλαίσιο Ανάπτυξης Ασφαλούς Λογισμικού (SSDF).

Η έκδοση SLSA v1.0 χωρίζει τις απαιτήσεις επιπέδου SLSA σε πολλαπλές διαδρομές, καθεμία από τις οποίες μετρά μια συγκεκριμένη πτυχή της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού. Τα νέα κομμάτια θα βοηθήσουν τους χρήστες να κατανοήσουν καλύτερα και να μετριάσουν τους κινδύνους που σχετίζονται με τις αλυσίδες εφοδιασμού λογισμικού και τελικά να αναπτύξουν, να επιδείξουν και να χρησιμοποιήσουν πιο ασφαλές και αξιόπιστο λογισμικό, λέει το OpenSSF. Το SLSA v1.0 παρέχει επίσης πιο σαφείς οδηγίες σχετικά με τον τρόπο επαλήθευσης της προέλευσης, μαζί με την πραγματοποίηση αντίστοιχων αλλαγών στις προδιαγραφές και τη μορφή προέλευσης.

Η Κατασκευή διαδρομής Τα επίπεδα 1-3, τα οποία αντιστοιχούν χονδρικά στα Επίπεδα 1-3 σε προηγούμενες εκδόσεις SLSA, περιγράφουν επίπεδα προστασίας από παραβιάσεις κατά τη διάρκεια ή μετά την κατασκευή λογισμικού. Οι απαιτήσεις Build Track αντικατοπτρίζουν τις απαιτούμενες εργασίες: παραγωγή τεχνουργημάτων, επαλήθευση συστημάτων κατασκευής και επαλήθευση τεχνουργημάτων. Οι μελλοντικές εκδόσεις του πλαισίου θα βασίζονται σε απαιτήσεις για την αντιμετώπιση άλλων πτυχών του κύκλου ζωής παράδοσης λογισμικού.

Το Build L1 υποδεικνύει την προέλευση, δείχνοντας πώς κατασκευάστηκε το πακέτο. Το Build L2 υποδηλώνει υπογεγραμμένη προέλευση, που δημιουργήθηκε από μια φιλοξενούμενη υπηρεσία κατασκευής. και το Build L3 υποδηλώνει ότι η υπηρεσία κατασκευής έχει σκληρυνθεί.

Όσο υψηλότερο είναι το επίπεδο, τόσο μεγαλύτερη είναι η εμπιστοσύνη ότι ένα πακέτο μπορεί να εντοπιστεί στην πηγή του και ότι δεν έχει παραβιαστεί, είπε το OpenSSF.

Η ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού είναι βασικό συστατικό της κυβέρνησης Μπάιντεν Εθνική Στρατηγική Κυβερνοασφάλειας των ΗΠΑ, καθώς ωθεί τους παρόχους λογισμικού να αναλάβουν μεγαλύτερη ευθύνη για την ασφάλεια των προϊόντων τους. Και πρόσφατα, 10 κρατικές υπηρεσίες από επτά χώρες (Αυστραλία, Καναδάς, Γερμανία, Ολλανδία, Νέα Ζηλανδία, Ηνωμένο Βασίλειο και Ηνωμένες Πολιτείες) δημοσίευσαν νέες κατευθυντήριες γραμμές, "Μετατόπιση της ισορροπίας του κινδύνου κυβερνοασφάλειας: Αρχές και προσεγγίσεις για την ασφάλεια ανά σχεδιασμό και -προεπιλογή», για να παροτρύνει τους προγραμματιστές λογισμικού να λάβουν τα απαραίτητα μέτρα για να διασφαλίσουν ότι αποστέλλουν προϊόντα που είναι τόσο ασφαλή από το σχεδιασμό όσο και από προεπιλογή. Αυτό σημαίνει κατάργηση προεπιλεγμένων κωδικών πρόσβασης, εγγραφή σε ασφαλέστερες γλώσσες προγραμματισμού και δημιουργία προγραμμάτων αποκάλυψης ευπάθειας για την αναφορά ελαττωμάτων.

Ως μέρος της διασφάλισης της αλυσίδας εφοδιασμού λογισμικού, οι ομάδες ασφαλείας θα πρέπει να συνεργάζονται με προγραμματιστές για να τους εκπαιδεύσουν σχετικά με πρακτικές ασφαλούς κωδικοποίησης και να προσαρμόσουν την εκπαίδευση ευαισθητοποίησης για την ασφάλεια ώστε να συμπεριλάβουν τους κινδύνους που περιβάλλουν τον κύκλο ζωής της ανάπτυξης λογισμικού.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework