OpenSSF lisää ohjelmiston toimitusketjun raidat SLSA-kehykseen

Open Source Security Foundation (OpenSSF) on julkaissut Supply-chain Levels for Software Artifacts (SLSA) -version 1.0:n, joka sisältää ohjelmiston toimitusketjua koskevat erityissäännökset.

Nykyaikaiset sovelluskehitystiimit käyttävät säännöllisesti uudelleen muiden sovellusten koodia ja hakevat koodikomponentteja ja kehittäjätyökaluja lukemattomista lähteistä. Snykin ja Linux Foundationin viime vuonna tekemä tutkimus havaitsi, että 41% organisaatioista heillä ei ollut suurta luottamusta avoimen lähdekoodin ohjelmistojen tietoturvaan. Toimitusketjun hyökkäykset muodostavat jatkuvasti läsnä olevan ja jatkuvasti kehittyvän uhan, joten sekä ohjelmistokehitystiimit että tietoturvatiimit ymmärtävät nyt, että avoimen lähdekoodin komponentit ja puitteet on suojattava.

SLSA on yhteisövetoinen toimitusketjun tietoturvastandardiprojekti, jota tukevat suuret teknologiayritykset, kuten Google, Intel, Microsoft, VMware ja IBM. SLSA keskittyy tietoturvan kurinalaisuuden lisäämiseen ohjelmistokehitysprosessissa. Open Source Security Foundationin mukaan kehittäjät voivat noudattaa SLSA:n ohjeita parantaakseen ohjelmistojen toimitusketjuaan, ja yritykset voivat käyttää SLSA:ta päättääkseen, luottavatko ohjelmistopakettiin.

SLSA tarjoaa yleisen sanaston puhua ohjelmistojen toimitusketjun turvallisuudesta; tapa, jolla kehittäjät voivat arvioida alkupään riippuvuuksia arvioimalla sovelluksessa käytettyjen lähdekoodin, koontiversioiden ja säilökuvien luotettavuutta; toimiva turvatarkistuslista; ja tapa mitata tulevan Secure Software Development Frameworkin (SSDF) noudattamista.

SLSA v1.0 -julkaisu jakaa SLSA:n tason vaatimukset useisiin raiteisiin, joista jokainen mittaa ohjelmiston toimitusketjun turvallisuuden tiettyä näkökohtaa. Uudet kappaleet auttavat käyttäjiä ymmärtämään ja vähentämään ohjelmistojen toimitusketjuihin liittyviä riskejä ja lopulta kehittämään, esittelemään ja käyttämään turvallisempia ja luotettavampia ohjelmistoja, OpenSSF sanoo. SLSA v1.0 tarjoaa myös täsmällisempiä ohjeita alkuperän tarkistamiseen sekä vastaavien muutosten tekemiseen spesifikaatioon ja alkuperämuotoon.

- Rakenna raita Tasot 1-3, jotka vastaavat suunnilleen tasoja 1-3 aikaisemmissa SLSA-versioissa, kuvaavat suojaustasoja peukalointia vastaan ​​ohjelmiston rakentamisen aikana tai sen jälkeen. Build Track -vaatimukset kuvastavat vaadittuja tehtäviä: artefaktien tuottaminen, koontijärjestelmien tarkistaminen ja artefaktien tarkistaminen. Kehyksen tulevat versiot perustuvat vaatimuksiin, jotka koskevat ohjelmistotoimituksen elinkaaren muita näkökohtia.

Rakenne L1 osoittaa alkuperän ja näyttää kuinka paketti rakennettiin; Koontiversio L2 osoittaa allekirjoitetun alkuperän, joka on luotu isännöidyn koontipalvelun avulla; ja Build L3 ilmaisee, että koontipalvelu on koventunut.

Mitä korkeampi taso, sitä suurempi luottamus siihen, että paketti voidaan jäljittää sen lähteeseen eikä sitä ole peukaloitu, OpenSSF sanoi.

Ohjelmiston toimitusketjun turvallisuus on keskeinen osa Bidenin hallintoa Yhdysvaltain kansallinen kyberturvallisuusstrategia, koska se pakottaa ohjelmistotoimittajat ottamaan suuremman vastuun tuotteidensa turvallisuudesta. Äskettäin kymmenen valtion virastoa seitsemästä maasta (Australia, Kanada, Saksa, Alankomaat, Uusi-Seelanti, Iso-Britannia ja Yhdysvallat) julkaisivat uudet ohjeet, "Kyberturvallisuusriskien tasapainon muuttaminen: Suunniteltua ja oletusturvallisuutta koskevat periaatteet ja lähestymistavat”, kehottaakseen ohjelmistokehittäjiä ryhtymään tarvittaviin toimiin varmistaakseen, että ne toimittavat tuotteita, jotka ovat sekä suunnittelultaan että oletusarvoisesti turvallisia. Tämä tarkoittaa oletussasanojen poistamista, turvallisemmilla ohjelmointikielillä kirjoittamista ja haavoittuvuuksien paljastamisohjelmien perustamista virheiden ilmoittamista varten.

Osana ohjelmistojen toimitusketjun turvaamista tietoturvatiimien tulisi olla tekemisissä kehittäjien kanssa kouluttaakseen heitä turvallisista koodauskäytännöistä ja räätälöidä tietoturvakoulutus ohjelmistokehityksen elinkaaren riskien mukaan.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Lähde: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework