OpenSSF lisab SLSA raamistikku tarkvara tarneahela rajad

Open Source Security Foundation (OpenSSF) on välja andnud tarkvaraartefaktide tarneahela tasemete (SLSA) versiooni 1.0, mis sisaldab tarkvara tarneahela erisätteid.

Kaasaegsed rakenduste arendusmeeskonnad kasutavad regulaarselt teiste rakenduste koodi ning tõmbavad koodikomponente ja arendajatööriistu lugematutest allikatest. Snyki ja Linuxi fondi eelmise aasta uuring näitas, et 41% organisatsioonidest ei usaldanud avatud lähtekoodiga tarkvara turvalisust. Kuna tarneahela rünnakud kujutavad endast pidevalt esinevat ja pidevalt arenevat ohtu, mõistavad nii tarkvaraarenduse meeskonnad kui ka turvameeskonnad nüüd, et avatud lähtekoodiga komponendid ja raamistikud peavad olema kaitstud.

SLSA on kogukonna juhitud tarneahela turbestandardite projekt, mida toetavad suured tehnoloogiaettevõtted, nagu Google, Intel, Microsoft, VMware ja IBM. SLSA keskendub turvalisuse suurendamisele tarkvara arendusprotsessis. Vastavalt Open Source Security Foundationile saavad arendajad järgida SLSA juhiseid, et muuta oma tarkvara tarneahel turvalisemaks, ja ettevõtted saavad SLSA-d kasutada tarkvarapaketi usaldamise üle otsustamiseks.

SLSA pakub levinud sõnavara, et rääkida tarkvara tarneahela turvalisusest; viis, kuidas arendajad saavad hinnata ülesvoolu sõltuvusi, hinnates rakenduses kasutatava lähtekoodi, järgu ja konteineri kujutiste usaldusväärsust; rakendatav turvalisuse kontrollnimekiri; ja viis, kuidas mõõta vastavust tulevasele turvalisele tarkvaraarenduse raamistikule (SSDF).

SLSA v1.0 väljalase jagab SLSA taseme nõuded mitmeks rajaks, millest igaüks mõõdab tarkvara tarneahela turvalisuse konkreetset aspekti. Uued rajad aitavad kasutajatel paremini mõista ja maandada tarkvara tarneahelatega seotud riske ning lõpuks arendada, demonstreerida ja kasutada turvalisemat ja usaldusväärsemat tarkvara, ütleb OpenSSF. SLSA v1.0 pakub ka täpsemaid juhiseid päritolu kontrollimiseks ning spetsifikatsioonis ja lähtevormingus vastavate muudatuste tegemise.

. Ehitage rada Tasemed 1–3, mis vastavad umbkaudu varasemate SLSA versioonide tasemetele 1–3, kirjeldavad kaitsetasemeid võltsimise eest tarkvara koostamise ajal või pärast seda. Ehitusraja nõuded kajastavad vajalikke ülesandeid: artefaktide loomine, ehitussüsteemide kontrollimine ja artefaktide kontrollimine. Raamistiku tulevased versioonid tuginevad nõuetele, mis käsitlevad tarkvara tarnimise elutsükli muid aspekte.

Ehitus L1 näitab päritolu, näidates, kuidas pakett on ehitatud; Järg L2 näitab allkirjastatud päritolu, mis on loodud hostitud ehitusteenuse poolt; ja Järg L3 näitab, et ehitusteenus on kõvastunud.

OpenSSF ütles, et mida kõrgem on tase, seda suurem on kindlustunne, et pakett on selle allikani tuvastatav ja seda ei ole rikutud.

Tarkvara tarneahela turvalisus on Bideni administratsiooni põhikomponent USA riiklik küberjulgeoleku strateegia, kuna see sunnib tarkvarapakkujaid võtma suuremat vastutust oma toodete turvalisuse eest. Ja hiljuti avaldasid 10 valitsusasutust seitsmest riigist (Austraalia, Kanada, Saksamaa, Holland, Uus-Meremaa, Ühendkuningriik ja Ameerika Ühendriigid) uued juhised.Küberjulgeolekuriskide tasakaalu muutmine: projekteeritud ja vaikimisi turvalisuse põhimõtted ja lähenemisviisid”, et julgustada tarkvaraarendajaid astuma vajalikke samme tagamaks, et nad tarnivad tooteid, mis on nii disainilt kui ka vaikimisi turvalised. See tähendab vaikeparoolide eemaldamist, turvalisemates programmeerimiskeeltes kirjutamist ja vigadest teatamiseks haavatavuse avalikustamise programmide loomist.

Tarkvara tarneahela turvalisuse tagamise osana peaksid turvameeskonnad arendajatega suhtlema, et õpetada neid turvaliste kodeerimistavade kohta ja kohandada turvateadlikkuse tõstmise koolitust, et hõlmata tarkvaraarenduse elutsükliga seotud riske.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Allikas: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework