بنیاد امنیت منبع باز (OpenSSF) نسخه 1.0 سطوح زنجیره تامین برای مصنوعات نرم افزاری (SLSA) را با مقررات خاصی برای زنجیره تامین نرم افزار منتشر کرده است.
تیمهای توسعه برنامههای کاربردی مدرن مرتباً از کدهای دیگر برنامهها استفاده میکنند و اجزای کد و ابزارهای توسعهدهنده را از منابع بیشمار استخراج میکنند. تحقیقات Snyk و بنیاد لینوکس در سال گذشته نشان داد که 41٪ از سازمان ها به امنیت نرم افزار منبع باز اعتماد زیادی نداشت. با توجه به اینکه حملات زنجیره تامین تهدیدی همیشه حاضر و در حال تکامل است، هم تیم های توسعه نرم افزار و هم تیم های امنیتی تشخیص داده اند که اجزای منبع باز و چارچوب ها باید ایمن شوند.
SLSA یک پروژه استانداردهای امنیتی زنجیره تامین مبتنی بر جامعه است که توسط شرکت های فناوری بزرگ مانند گوگل، اینتل، مایکروسافت، VMware و IBM پشتیبانی می شود. SLSA بر افزایش سختگیری امنیتی در فرآیند توسعه نرم افزار تمرکز دارد. به گفته بنیاد امنیت منبع باز، توسعه دهندگان می توانند دستورالعمل های SLSA را برای ایمن تر کردن زنجیره تامین نرم افزار خود دنبال کنند و شرکت ها می توانند از SLSA برای تصمیم گیری در مورد اعتماد به یک بسته نرم افزاری استفاده کنند.
SLSA یک واژگان مشترک برای صحبت در مورد امنیت زنجیره تامین نرم افزار فراهم می کند. راهی برای توسعه دهندگان برای ارزیابی وابستگی های بالادستی با ارزیابی قابل اعتماد بودن کد منبع، ساخت ها و تصاویر کانتینر مورد استفاده در برنامه؛ چک لیست امنیتی قابل اجرا؛ و راهی برای اندازه گیری انطباق با چارچوب توسعه نرم افزار ایمن آینده (SSDF).
انتشار SLSA v1.0 الزامات سطح SLSA را به چند مسیر تقسیم می کند، که هر کدام جنبه خاصی از امنیت زنجیره تامین نرم افزار را می سنجد. OpenSSF میگوید، مسیرهای جدید به کاربران کمک میکند تا خطرات مرتبط با زنجیرههای تامین نرمافزار را بهتر درک کرده و کاهش دهند و در نهایت نرمافزار امنتر و قابل اعتمادتری را توسعه دهند، نشان دهند و از آنها استفاده کنند. SLSA نسخه 1.0 همچنین راهنمایی صریح تری در مورد چگونگی تأیید منشأ، همراه با ایجاد تغییرات مربوطه در مشخصات و قالب منشأ ارائه می دهد.
La ساخت آهنگ سطوح 1-3، که تقریباً با سطوح 1-3 در نسخه های قبلی SLSA مطابقت دارد، سطوح حفاظت در برابر دستکاری در طول یا بعد از ساخت نرم افزار را توصیف می کند. الزامات Build Track منعکس کننده وظایف مورد نیاز است: تولید مصنوعات، تأیید سیستم های ساخت و تأیید مصنوعات. نسخههای آینده این چارچوب بر اساس الزامات برای پرداختن به سایر جنبههای چرخه عمر تحویل نرمافزار است.
Build L1 منشأ را نشان میدهد و نحوه ساخت بسته را نشان میدهد. Build L2 منشأ امضا شده را نشان میدهد که توسط یک سرویس ساخت میزبان ایجاد شده است. و Build L3 نشان می دهد که سرویس ساخت سخت شده است.
OpenSSF گفت: هر چه سطح بالاتر باشد، اطمینان بیشتری وجود دارد که یک بسته را می توان به منبع آن ردیابی کرد و در آن دستکاری نشده است.
امنیت زنجیره تامین نرم افزار جزء کلیدی دولت بایدن است استراتژی امنیت سایبری ملی ایالات متحده، زیرا ارائه دهندگان نرم افزار را وادار می کند تا مسئولیت بیشتری در قبال امنیت محصولات خود بپذیرند. و اخیراً 10 سازمان دولتی از هفت کشور (استرالیا، کانادا، آلمان، هلند، نیوزلند، بریتانیا و ایالات متحده) دستورالعملهای جدیدی را منتشر کردند.تغییر موازنه ریسک امنیت سایبری: اصول و رویکردهای امنیتی بر اساس طراحی و پیشفرض، از توسعه دهندگان نرم افزار ترغیب شود تا اقدامات لازم را برای اطمینان از ارسال محصولاتی که هم از نظر طراحی و هم به طور پیش فرض ایمن هستند، انجام دهند. این به معنای حذف رمزهای عبور پیشفرض، نوشتن به زبانهای برنامهنویسی امنتر و ایجاد برنامههای افشای آسیبپذیری برای گزارش نقص است.
به عنوان بخشی از ایمن سازی زنجیره تامین نرم افزار، تیم های امنیتی باید با توسعه دهندگان تعامل داشته باشند تا آنها را در مورد شیوه های کدگذاری ایمن آموزش دهند و آموزش های آگاهی امنیتی را متناسب با خطرات پیرامون چرخه عمر توسعه نرم افزار در بر گیرند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- : دارد
- :است
- :نه
- 10
- 7
- a
- درباره ما
- مطابق
- نشانی
- می افزاید:
- حکومت
- پس از
- در برابر
- سازمان
- در امتداد
- همچنین
- an
- و
- کاربرد
- برنامه توسعه
- برنامه های کاربردی
- رویکردها
- هستند
- AS
- ظاهر
- جنبه
- مرتبط است
- حمله
- استرالیا
- اطلاع
- به عقب
- حمایت کرد
- برج میزان
- BE
- بوده
- بهتر
- بایدن
- دولت بایدن
- هر دو
- ساختن
- می سازد
- ساخته
- by
- CAN
- Canada
- زنجیر
- زنجیر
- تبادل
- رمز
- برنامه نویسی
- مشترک
- جامعه محور
- شرکت
- انطباق
- جزء
- اجزاء
- اعتماد به نفس
- ظرف
- متناظر
- کشور
- امنیت سایبری
- چرخه
- تصمیم گیری
- به طور پیش فرض
- تحویل
- نشان دادن
- طرح
- توسعه
- توسعه دهنده
- توسعه دهندگان
- پروژه
- افشاء
- در طی
- هر
- پیش از آن
- تعلیم دادن
- جذاب
- اطمینان حاصل شود
- شرکت
- ایجاد
- ارزیابی
- معایب
- تمرکز
- به دنبال
- برای
- قالب
- آینده
- یافت
- پایه
- چارچوب
- چارچوب
- از جانب
- آینده
- تولید
- آلمان
- گوگل
- دولت
- بیشتر
- راهنمایی
- دستورالعمل ها
- آیا
- کمک
- زیاد
- بالاتر
- میزبانی
- چگونه
- چگونه
- HTML
- HTTPS
- آی بی ام
- تصاویر
- in
- شامل
- افزایش
- نشان می دهد
- اینتل
- به
- IT
- ITS
- JPG
- کلید
- پادشاهی
- L1
- l2
- زبان ها
- نام
- پارسال
- سطح
- سطح
- زندگی
- لینوکس
- پایه لینوکس
- عمده
- ساخت
- ساخت
- به معنی
- اندازه
- اندازه گیری
- مایکروسافت
- کاهش
- بیش
- چندگانه
- ملی
- لازم
- نیاز
- هلند
- جدید
- نیوزیلند
- اکنون
- of
- on
- ONE
- باز کن
- منبع باز
- or
- سازمان های
- دیگر
- بسته
- بخش
- ویژه
- کلمه عبور
- افلاطون
- هوش داده افلاطون
- PlatoData
- شیوه های
- از اصول
- روند
- محصولات
- برنامه نويسي
- زبانهای برنامه نویسی
- برنامه ها
- پروژه
- حفاظت
- منشاء
- ارائه دهندگان
- فراهم می کند
- تازه
- شناختن
- بازتاب
- به طور منظم
- منتشر شد
- قابل اعتماد
- از بین بردن
- گزارش
- ضروری
- مورد نیاز
- تحقیق
- مسئوليت
- استفاده مجدد
- خطر
- خطرات
- تقریبا
- s
- امن تر
- سعید
- می گوید:
- امن
- امن
- امنیت
- تیم امنیت لاتاری
- آگاهی از امنیت
- سرویس
- هفت
- حمل
- باید
- امضاء شده
- نرم افزار
- توسعه دهندگان نرم افزار
- توسعه نرم افزار
- منبع
- کد منبع
- منابع
- خاص
- مشخصات
- استانداردهای
- ایالات
- مراحل
- استراتژی
- چنین
- عرضه
- زنجیره تامین
- زنجیره تامین
- اطراف
- سیستم های
- گرفتن
- صحبت
- وظایف
- تیم ها
- پیشرفته
- شرکتهای فناوری
- که
- La
- هلند
- بریتانیا
- شان
- آنها
- آنها
- تهدید
- به
- ابزار
- مسیر
- آموزش
- اعتماد
- در نهایت
- فهمیدن
- متحد
- انگلستان
- ایالات متحده
- استفاده کنید
- استفاده
- کاربران
- v1
- بررسی
- تایید
- آموزش VMware
- آسیب پذیری
- بود
- مسیر..
- چه
- که
- اراده
- با
- در داخل
- نوشته
- سال
- زلال
- زفیرنت