OpenSSF آهنگ های زنجیره تامین نرم افزار را به چارچوب SLSA اضافه می کند

بنیاد امنیت منبع باز (OpenSSF) نسخه 1.0 سطوح زنجیره تامین برای مصنوعات نرم افزاری (SLSA) را با مقررات خاصی برای زنجیره تامین نرم افزار منتشر کرده است.

تیم‌های توسعه برنامه‌های کاربردی مدرن مرتباً از کدهای دیگر برنامه‌ها استفاده می‌کنند و اجزای کد و ابزارهای توسعه‌دهنده را از منابع بی‌شمار استخراج می‌کنند. تحقیقات Snyk و بنیاد لینوکس در سال گذشته نشان داد که 41٪ از سازمان ها به امنیت نرم افزار منبع باز اعتماد زیادی نداشت. با توجه به اینکه حملات زنجیره تامین تهدیدی همیشه حاضر و در حال تکامل است، هم تیم های توسعه نرم افزار و هم تیم های امنیتی تشخیص داده اند که اجزای منبع باز و چارچوب ها باید ایمن شوند.

SLSA یک پروژه استانداردهای امنیتی زنجیره تامین مبتنی بر جامعه است که توسط شرکت های فناوری بزرگ مانند گوگل، اینتل، مایکروسافت، VMware و IBM پشتیبانی می شود. SLSA بر افزایش سختگیری امنیتی در فرآیند توسعه نرم افزار تمرکز دارد. به گفته بنیاد امنیت منبع باز، توسعه دهندگان می توانند دستورالعمل های SLSA را برای ایمن تر کردن زنجیره تامین نرم افزار خود دنبال کنند و شرکت ها می توانند از SLSA برای تصمیم گیری در مورد اعتماد به یک بسته نرم افزاری استفاده کنند.

SLSA یک واژگان مشترک برای صحبت در مورد امنیت زنجیره تامین نرم افزار فراهم می کند. راهی برای توسعه دهندگان برای ارزیابی وابستگی های بالادستی با ارزیابی قابل اعتماد بودن کد منبع، ساخت ها و تصاویر کانتینر مورد استفاده در برنامه؛ چک لیست امنیتی قابل اجرا؛ و راهی برای اندازه گیری انطباق با چارچوب توسعه نرم افزار ایمن آینده (SSDF).

انتشار SLSA v1.0 الزامات سطح SLSA را به چند مسیر تقسیم می کند، که هر کدام جنبه خاصی از امنیت زنجیره تامین نرم افزار را می سنجد. OpenSSF می‌گوید، مسیرهای جدید به کاربران کمک می‌کند تا خطرات مرتبط با زنجیره‌های تامین نرم‌افزار را بهتر درک کرده و کاهش دهند و در نهایت نرم‌افزار امن‌تر و قابل اعتمادتری را توسعه دهند، نشان دهند و از آنها استفاده کنند. SLSA نسخه 1.0 همچنین راهنمایی صریح تری در مورد چگونگی تأیید منشأ، همراه با ایجاد تغییرات مربوطه در مشخصات و قالب منشأ ارائه می دهد.

La ساخت آهنگ سطوح 1-3، که تقریباً با سطوح 1-3 در نسخه های قبلی SLSA مطابقت دارد، سطوح حفاظت در برابر دستکاری در طول یا بعد از ساخت نرم افزار را توصیف می کند. الزامات Build Track منعکس کننده وظایف مورد نیاز است: تولید مصنوعات، تأیید سیستم های ساخت و تأیید مصنوعات. نسخه‌های آینده این چارچوب بر اساس الزامات برای پرداختن به سایر جنبه‌های چرخه عمر تحویل نرم‌افزار است.

Build L1 منشأ را نشان می‌دهد و نحوه ساخت بسته را نشان می‌دهد. Build L2 منشأ امضا شده را نشان می‌دهد که توسط یک سرویس ساخت میزبان ایجاد شده است. و Build L3 نشان می دهد که سرویس ساخت سخت شده است.

OpenSSF گفت: هر چه سطح بالاتر باشد، اطمینان بیشتری وجود دارد که یک بسته را می توان به منبع آن ردیابی کرد و در آن دستکاری نشده است.

امنیت زنجیره تامین نرم افزار جزء کلیدی دولت بایدن است استراتژی امنیت سایبری ملی ایالات متحده، زیرا ارائه دهندگان نرم افزار را وادار می کند تا مسئولیت بیشتری در قبال امنیت محصولات خود بپذیرند. و اخیراً 10 سازمان دولتی از هفت کشور (استرالیا، کانادا، آلمان، هلند، نیوزلند، بریتانیا و ایالات متحده) دستورالعمل‌های جدیدی را منتشر کردند.تغییر موازنه ریسک امنیت سایبری: اصول و رویکردهای امنیتی بر اساس طراحی و پیش‌فرض، از توسعه دهندگان نرم افزار ترغیب شود تا اقدامات لازم را برای اطمینان از ارسال محصولاتی که هم از نظر طراحی و هم به طور پیش فرض ایمن هستند، انجام دهند. این به معنای حذف رمزهای عبور پیش‌فرض، نوشتن به زبان‌های برنامه‌نویسی امن‌تر و ایجاد برنامه‌های افشای آسیب‌پذیری برای گزارش نقص است.

به عنوان بخشی از ایمن سازی زنجیره تامین نرم افزار، تیم های امنیتی باید با توسعه دهندگان تعامل داشته باشند تا آنها را در مورد شیوه های کدگذاری ایمن آموزش دهند و آموزش های آگاهی امنیتی را متناسب با خطرات پیرامون چرخه عمر توسعه نرم افزار در بر گیرند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework