La Open Source Security Foundation (OpenSSF) ha lanzado la versión 1.0 de los niveles de cadena de suministro para artefactos de software (SLSA) con disposiciones específicas para la cadena de suministro de software.
Los equipos modernos de desarrollo de aplicaciones reutilizan regularmente código de otras aplicaciones y extraen componentes de código y herramientas de desarrollo de innumerables fuentes. La investigación de Snyk y Linux Foundation el año pasado encontró que el 41% de las organizaciones no tenía mucha confianza en la seguridad del software de código abierto. Dado que los ataques a la cadena de suministro representan una amenaza siempre presente y en constante evolución, tanto los equipos de desarrollo de software como los equipos de seguridad ahora reconocen que los componentes y marcos de código abierto deben protegerse.
SLSA es un proyecto de estándares de seguridad de la cadena de suministro impulsado por la comunidad respaldado por las principales empresas de tecnología, como Google, Intel, Microsoft, VMware e IBM. SLSA se centra en aumentar el rigor de la seguridad dentro del proceso de desarrollo de software. Los desarrolladores pueden seguir las pautas de SLSA para hacer que su cadena de suministro de software sea más segura, y las empresas pueden usar SLSA para tomar decisiones sobre si confiar en un paquete de software, según Open Source Security Foundation.
SLSA proporciona un vocabulario común para hablar sobre la seguridad de la cadena de suministro de software; una forma para que los desarrolladores evalúen las dependencias ascendentes al evaluar la confiabilidad del código fuente, las compilaciones y las imágenes de contenedor utilizadas en la aplicación; una lista de verificación de seguridad accionable; y una forma de medir el cumplimiento del próximo marco de desarrollo de software seguro (SSDF).
La versión SLSA v1.0 divide los requisitos de nivel de SLSA en varias pistas, cada una de las cuales mide un aspecto particular de la seguridad de la cadena de suministro de software. Las nuevas pistas ayudarán a los usuarios a comprender y mitigar mejor los riesgos asociados con las cadenas de suministro de software y, en última instancia, desarrollar, demostrar y utilizar un software más seguro y confiable, dice OpenSSF. SLSA v1.0 también proporciona una guía más explícita sobre cómo verificar la procedencia, además de realizar los cambios correspondientes en la especificación y el formato de procedencia.
La Crear pista Los niveles 1 a 3, que corresponden aproximadamente a los niveles 1 a 3 en las versiones anteriores de SLSA, describen los niveles de protección contra la manipulación durante o después de la compilación del software. Los requisitos de Build Track reflejan las tareas requeridas: producción de artefactos, verificación de sistemas de construcción y verificación de artefactos. Las versiones futuras del marco se basarán en los requisitos para abordar otros aspectos del ciclo de vida de la entrega de software.
Build L1 indica la procedencia y muestra cómo se construyó el paquete; Build L2 indica la procedencia firmada, generada por un servicio de compilación alojado; y Build L3 indica que el servicio de compilación se ha fortalecido.
Cuanto más alto sea el nivel, mayor será la confianza de que un paquete se puede rastrear hasta su origen y no ha sido manipulado, dijo OpenSSF.
La seguridad de la cadena de suministro de software es un componente clave de la administración de Biden Estrategia Nacional de Ciberseguridad de EE. UU., ya que empuja a los proveedores de software a asumir una mayor responsabilidad por la seguridad de sus productos. Y recientemente, 10 agencias gubernamentales de siete países (Australia, Canadá, Alemania, los Países Bajos, Nueva Zelanda, el Reino Unido y los Estados Unidos) publicaron nuevas pautas, “Cambiando el equilibrio del riesgo de ciberseguridad: principios y enfoques para la seguridad por diseño y por defecto”, para instar a los desarrolladores de software a tomar las medidas necesarias para garantizar que envíen productos que sean seguros tanto por diseño como por defecto. Eso significa eliminar las contraseñas predeterminadas, escribir en lenguajes de programación más seguros y establecer programas de divulgación de vulnerabilidades para informar fallas.
Como parte de la protección de la cadena de suministro de software, los equipos de seguridad deben comprometerse con los desarrolladores para educarlos sobre las prácticas de codificación segura y adaptar la capacitación de concientización sobre seguridad para incluir los riesgos que rodean el ciclo de vida del desarrollo de software.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :posee
- :es
- :no
- 10
- 7
- a
- Nuestra Empresa
- Conforme
- dirección
- Añade
- administración
- Después
- en contra
- agencias
- a lo largo de
- también
- an
- y
- Aplicación
- Desarrollo de aplicaciones
- aplicaciones
- enfoques
- somos
- AS
- aspecto
- aspectos
- asociado
- ataques
- Australia
- conciencia
- Atrás
- Respaldados
- Balance
- BE
- esto
- mejores
- Biden
- Administración de Biden
- ambas
- build
- construye
- construido
- by
- PUEDEN
- Ubicación: Canadá
- cadena
- cadenas
- Cambios
- código
- Codificación
- Algunos
- Impulsado por la comunidad
- Empresas
- compliance
- componente
- componentes
- confianza
- Envase
- Correspondiente
- países
- La Ciberseguridad
- Cycle
- decisiones
- Predeterminado
- entrega
- demostrar
- Diseño
- desarrollar
- Developer
- desarrolladores
- Desarrollo
- revelación
- durante
- cada una
- Más temprano
- educar
- interactuando
- garantizar
- empresas
- el establecimiento
- evaluación
- defectos
- se centra
- seguir
- formato
- próximo
- encontrado
- Fundación
- Marco conceptual
- marcos
- Desde
- futuras
- generado
- Alemania
- Gobierno
- mayor
- guía
- orientaciones
- Tienen
- ayuda
- Alta
- más alto
- organizado
- Cómo
- Como Hacer
- HTML
- HTTPS
- IBM
- imágenes
- in
- incluir
- creciente
- Indica
- Intel
- dentro
- IT
- SUS
- jpg
- Clave
- Reino
- L1
- l2
- Idiomas
- Apellido
- El año pasado
- Nivel
- Vida
- Linux
- base de linux
- gran
- para lograr
- Realizar
- significa
- medir
- medición
- Microsoft
- Mitigar las
- más,
- múltiples
- Nacional
- necesario
- ¿ Necesita ayuda
- Países Bajos
- Nuevo
- Nueva Zelanda
- ahora
- of
- on
- ONE
- habiertos
- de código abierto
- or
- para las fiestas.
- Otro
- paquete
- parte
- particular
- contraseñas
- (PDF)
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- prácticas
- principios
- Productos
- Programación
- lenguajes de programación
- Programas
- proyecto
- Protección
- procedencia
- los proveedores
- proporciona un
- recientemente
- reconocer
- reflejar
- regularmente
- liberado
- confianza
- la eliminación de
- Informes
- Requisitos
- Requisitos
- la investigación
- responsabilidad
- reutilizar
- Riesgo
- riesgos
- aproximadamente
- s
- Safer
- Said
- dice
- seguro
- asegurado
- asegurar
- EN LINEA
- Conciencia de seguridad
- de coches
- siete
- Envíos
- tienes
- firmado
- Software
- Desarrolladores de software
- Desarrollo de software ad-hoc
- Fuente
- código fuente
- Fuentes
- soluciones y
- especificación
- estándares de salud
- Zonas
- pasos
- Estrategia
- tal
- suministro
- cadena de suministro
- Cadenas de suministro
- Rodeando
- Todas las funciones a su disposición
- ¡Prepárate!
- escuchar
- tareas
- equipos
- Tecnología
- empresas tecnológicas
- esa
- La
- Países Bajos
- el Reino Unido
- su
- Les
- ellos
- amenaza
- a
- seguir
- Formación
- Confía en
- Finalmente, a veces
- entender
- United
- Reino Unido
- Estados Unidos
- utilizan el
- usado
- usuarios
- v1
- verificar
- verificando
- vmware
- vulnerabilidad
- fue
- Camino..
- sean
- que
- seguirá
- dentro de
- la escritura
- año
- Zelanda
- zephyrnet
