Το Ίδρυμα Ανοιχτού Κώδικα Ασφάλειας (OpenSSF) κυκλοφόρησε την έκδοση 1.0 των Επιπέδων αλυσίδας εφοδιασμού για τεχνουργήματα λογισμικού (SLSA) με συγκεκριμένες διατάξεις για την αλυσίδα εφοδιασμού λογισμικού.
Οι σύγχρονες ομάδες ανάπτυξης εφαρμογών επαναχρησιμοποιούν τακτικά κώδικα από άλλες εφαρμογές και αντλούν στοιχεία κώδικα και εργαλεία προγραμματιστή από μυριάδες πηγές. Έρευνα από το Snyk και το Ίδρυμα Linux πέρυσι διαπίστωσε ότι το 41% των οργανισμών δεν είχε μεγάλη εμπιστοσύνη στην ασφάλεια λογισμικού ανοιχτού κώδικα. Με τις επιθέσεις της εφοδιαστικής αλυσίδας να αποτελούν μια διαρκώς παρούσα και συνεχώς εξελισσόμενη απειλή, τόσο οι ομάδες ανάπτυξης λογισμικού όσο και οι ομάδες ασφαλείας αναγνωρίζουν πλέον ότι τα στοιχεία και τα πλαίσια ανοιχτού κώδικα πρέπει να ασφαλιστούν.
Το SLSA είναι ένα έργο προτύπων ασφάλειας εφοδιαστικής αλυσίδας με γνώμονα την κοινότητα και υποστηρίζεται από μεγάλες εταιρείες τεχνολογίας, όπως η Google, η Intel, η Microsoft, η VMware και η IBM. Το SLSA εστιάζει στην αύξηση της αυστηρότητας της ασφάλειας κατά τη διαδικασία ανάπτυξης λογισμικού. Οι προγραμματιστές μπορούν να ακολουθήσουν τις οδηγίες της SLSA για να κάνουν την αλυσίδα εφοδιασμού λογισμικού τους πιο ασφαλή και οι επιχειρήσεις μπορούν να χρησιμοποιήσουν το SLSA για να λάβουν αποφάσεις σχετικά με το αν θα εμπιστευτούν ένα πακέτο λογισμικού, σύμφωνα με το Open Source Security Foundation.
Το SLSA παρέχει ένα κοινό λεξιλόγιο για να μιλήσουμε για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού. ένας τρόπος για τους προγραμματιστές να αξιολογούν τις ανοδικές εξαρτήσεις αξιολογώντας την αξιοπιστία του πηγαίου κώδικα, των εκδόσεων και των εικόνων κοντέινερ που χρησιμοποιούνται στην εφαρμογή. μια λίστα ελέγχου ασφαλείας με δυνατότητα δράσης· και έναν τρόπο μέτρησης της συμμόρφωσης με το προσεχές Πλαίσιο Ανάπτυξης Ασφαλούς Λογισμικού (SSDF).
Η έκδοση SLSA v1.0 χωρίζει τις απαιτήσεις επιπέδου SLSA σε πολλαπλές διαδρομές, καθεμία από τις οποίες μετρά μια συγκεκριμένη πτυχή της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού. Τα νέα κομμάτια θα βοηθήσουν τους χρήστες να κατανοήσουν καλύτερα και να μετριάσουν τους κινδύνους που σχετίζονται με τις αλυσίδες εφοδιασμού λογισμικού και τελικά να αναπτύξουν, να επιδείξουν και να χρησιμοποιήσουν πιο ασφαλές και αξιόπιστο λογισμικό, λέει το OpenSSF. Το SLSA v1.0 παρέχει επίσης πιο σαφείς οδηγίες σχετικά με τον τρόπο επαλήθευσης της προέλευσης, μαζί με την πραγματοποίηση αντίστοιχων αλλαγών στις προδιαγραφές και τη μορφή προέλευσης.
Η Κατασκευή διαδρομής Τα επίπεδα 1-3, τα οποία αντιστοιχούν χονδρικά στα Επίπεδα 1-3 σε προηγούμενες εκδόσεις SLSA, περιγράφουν επίπεδα προστασίας από παραβιάσεις κατά τη διάρκεια ή μετά την κατασκευή λογισμικού. Οι απαιτήσεις Build Track αντικατοπτρίζουν τις απαιτούμενες εργασίες: παραγωγή τεχνουργημάτων, επαλήθευση συστημάτων κατασκευής και επαλήθευση τεχνουργημάτων. Οι μελλοντικές εκδόσεις του πλαισίου θα βασίζονται σε απαιτήσεις για την αντιμετώπιση άλλων πτυχών του κύκλου ζωής παράδοσης λογισμικού.
Το Build L1 υποδεικνύει την προέλευση, δείχνοντας πώς κατασκευάστηκε το πακέτο. Το Build L2 υποδηλώνει υπογεγραμμένη προέλευση, που δημιουργήθηκε από μια φιλοξενούμενη υπηρεσία κατασκευής. και το Build L3 υποδηλώνει ότι η υπηρεσία κατασκευής έχει σκληρυνθεί.
Όσο υψηλότερο είναι το επίπεδο, τόσο μεγαλύτερη είναι η εμπιστοσύνη ότι ένα πακέτο μπορεί να εντοπιστεί στην πηγή του και ότι δεν έχει παραβιαστεί, είπε το OpenSSF.
Η ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού είναι βασικό συστατικό της κυβέρνησης Μπάιντεν Εθνική Στρατηγική Κυβερνοασφάλειας των ΗΠΑ, καθώς ωθεί τους παρόχους λογισμικού να αναλάβουν μεγαλύτερη ευθύνη για την ασφάλεια των προϊόντων τους. Και πρόσφατα, 10 κρατικές υπηρεσίες από επτά χώρες (Αυστραλία, Καναδάς, Γερμανία, Ολλανδία, Νέα Ζηλανδία, Ηνωμένο Βασίλειο και Ηνωμένες Πολιτείες) δημοσίευσαν νέες κατευθυντήριες γραμμές, "Μετατόπιση της ισορροπίας του κινδύνου κυβερνοασφάλειας: Αρχές και προσεγγίσεις για την ασφάλεια ανά σχεδιασμό και -προεπιλογή», για να παροτρύνει τους προγραμματιστές λογισμικού να λάβουν τα απαραίτητα μέτρα για να διασφαλίσουν ότι αποστέλλουν προϊόντα που είναι τόσο ασφαλή από το σχεδιασμό όσο και από προεπιλογή. Αυτό σημαίνει κατάργηση προεπιλεγμένων κωδικών πρόσβασης, εγγραφή σε ασφαλέστερες γλώσσες προγραμματισμού και δημιουργία προγραμμάτων αποκάλυψης ευπάθειας για την αναφορά ελαττωμάτων.
Ως μέρος της διασφάλισης της αλυσίδας εφοδιασμού λογισμικού, οι ομάδες ασφαλείας θα πρέπει να συνεργάζονται με προγραμματιστές για να τους εκπαιδεύσουν σχετικά με πρακτικές ασφαλούς κωδικοποίησης και να προσαρμόσουν την εκπαίδευση ευαισθητοποίησης για την ασφάλεια ώστε να συμπεριλάβουν τους κινδύνους που περιβάλλουν τον κύκλο ζωής της ανάπτυξης λογισμικού.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :έχει
- :είναι
- :δεν
- 10
- 7
- a
- Σχετικα
- Σύμφωνα με
- διεύθυνση
- Προσθέτει
- διαχείριση
- Μετά το
- κατά
- υπηρεσίες
- κατά μήκος
- Επίσης
- an
- και
- Εφαρμογή
- Ανάπτυξη Εφαρμογών
- εφαρμογές
- προσεγγίσεις
- ΕΙΝΑΙ
- AS
- άποψη
- πτυχές
- συσχετισμένη
- Επιθέσεις
- Australia
- επίγνωση
- πίσω
- υποστηρίζεται
- Υπόλοιπο
- BE
- ήταν
- Καλύτερα
- biden
- Διοίκηση Biden
- και οι δύο
- χτίζω
- Χτίζει
- χτισμένο
- by
- CAN
- Canada
- αλυσίδα
- αλυσίδες
- Αλλαγές
- κωδικός
- Κωδικοποίηση
- Κοινός
- Με γνώμονα την κοινότητα
- Εταιρείες
- Συμμόρφωση
- συστατικό
- εξαρτήματα
- εμπιστοσύνη
- Δοχείο
- Αντίστοιχος
- χώρες
- Κυβερνασφάλεια
- κύκλος
- αποφάσεις
- Προεπιλογή
- διανομή
- αποδεικνύουν
- Υπηρεσίες
- ανάπτυξη
- Εργολάβος
- προγραμματιστές
- Ανάπτυξη
- αποκάλυψη
- κατά την διάρκεια
- κάθε
- Νωρίτερα
- εκπαιδεύσει
- ελκυστικός
- εξασφαλίζω
- επιχειρήσεις
- δημιουργία
- αξιολογώντας
- ελαττώματα
- εστιάζει
- ακολουθήστε
- Για
- μορφή
- προσεχής
- Βρέθηκαν
- Θεμέλιο
- Πλαίσιο
- πλαισίων
- από
- μελλοντικός
- παράγεται
- Germany
- Κυβέρνηση
- μεγαλύτερη
- καθοδήγηση
- κατευθυντήριων γραμμών
- Έχω
- βοήθεια
- Ψηλά
- υψηλότερο
- φιλοξενείται
- Πως
- Πώς να
- HTML
- HTTPS
- IBM
- εικόνες
- in
- περιλαμβάνουν
- αύξηση
- υποδηλώνει
- Intel
- σε
- IT
- ΤΟΥ
- jpg
- Κλειδί
- Βασίλειο
- L1
- l2
- Γλώσσες
- Επίθετο
- Πέρυσι
- Επίπεδο
- επίπεδα
- ζωή
- linux
- linux foundation
- μεγάλες
- κάνω
- Κατασκευή
- μέσα
- μέτρο
- μέτρησης
- Microsoft
- Μετριάζω
- περισσότερο
- πολλαπλούς
- εθνικός
- απαραίτητος
- Ανάγκη
- Ολλανδία
- Νέα
- New Zealand
- τώρα
- of
- on
- ONE
- ανοίξτε
- ανοικτού κώδικα
- or
- οργανώσεις
- ΑΛΛΑ
- πακέτο
- μέρος
- Ειδικότερα
- Κωδικοί πρόσβασης
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πρακτικές
- αρχές
- διαδικασια μας
- Προϊόντα
- Προγραμματισμός
- γλώσσες προγραμματισμού
- Προγράμματα
- σχέδιο
- προστασία
- προέλευση
- Παρόχους υπηρεσιών
- παρέχει
- πρόσφατα
- αναγνωρίζω
- αντανακλούν
- τακτικά
- κυκλοφόρησε
- αξιόπιστος
- αφαίρεση
- Αναφορά
- απαιτείται
- απαιτήσεις
- έρευνα
- ευθύνη
- επαναχρησιμοποίηση
- Κίνδυνος
- κινδύνους
- περίπου
- s
- Ασφαλέστερο
- Είπε
- λέει
- προστατευμένο περιβάλλον
- Ασφαλής
- ασφάλεια
- ασφάλεια
- Ενημέρωση ασφαλείας
- υπηρεσία
- επτά
- Shipping
- θα πρέπει να
- υπογραφεί
- λογισμικό
- Προγραμματιστές λογισμικού
- ανάπτυξη λογισμικού
- Πηγή
- πρωτογενής κώδικας
- Πηγές
- συγκεκριμένες
- προσδιορισμός
- πρότυπα
- Μελών
- Βήματα
- Στρατηγική
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- Αλυσίδες εφοδιασμού
- περιβάλλων
- συστήματα
- Πάρτε
- Συζήτηση
- εργασίες
- ομάδες
- Τεχνολογία
- εταιρείες τεχνολογίας
- ότι
- Η
- Κάτω Χώρες
- το Ηνωμένο Βασίλειο
- τους
- Τους
- αυτοί
- απειλή
- προς την
- εργαλεία
- τροχιά
- Εκπαίδευση
- Εμπιστευθείτε
- τελικά
- καταλαβαίνω
- Ενωμένος
- Ηνωμένο Βασίλειο
- United States
- χρήση
- μεταχειρισμένος
- Χρήστες
- v1
- επαληθεύει
- επαληθεύοντας
- vmware
- ευπάθεια
- ήταν
- Τρόπος..
- αν
- Ποιό
- θα
- με
- εντός
- γραφή
- έτος
- Ζηλανδία
- zephyrnet