L'Open Source Security Foundation (OpenSSF) a publié la v1.0 des niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) avec des dispositions spécifiques pour la chaîne d'approvisionnement des logiciels.
Les équipes de développement d'applications modernes réutilisent régulièrement le code d'autres applications et extraient des composants de code et des outils de développement d'une myriade de sources. Les recherches de Snyk et de la Linux Foundation l'année dernière ont révélé que 41% des organisations n'avait pas une grande confiance dans la sécurité des logiciels open source. Les attaques de la chaîne d'approvisionnement constituant une menace omniprésente et en constante évolution, les équipes de développement de logiciels et les équipes de sécurité reconnaissent désormais que les composants et les infrastructures open source doivent être sécurisés.
SLSA est un projet communautaire de normes de sécurité de la chaîne d'approvisionnement soutenu par de grandes entreprises technologiques telles que Google, Intel, Microsoft, VMware et IBM. SLSA se concentre sur l'augmentation de la rigueur de la sécurité dans le processus de développement de logiciels. Les développeurs peuvent suivre les directives de SLSA pour rendre leur chaîne d'approvisionnement logicielle plus sécurisée, et les entreprises peuvent utiliser SLSA pour décider de faire confiance à un progiciel, selon l'Open Source Security Foundation.
SLSA fournit un vocabulaire commun pour parler de la sécurité de la chaîne d'approvisionnement logicielle ; un moyen pour les développeurs d'évaluer les dépendances en amont en évaluant la fiabilité du code source, des versions et des images de conteneur utilisées dans l'application ; une liste de contrôle de sécurité exploitable ; et un moyen de mesurer la conformité avec le futur Secure Software Development Framework (SSDF).
La version SLSA v1.0 divise les exigences de niveau de la SLSA en plusieurs pistes, chacune mesurant un aspect particulier de la sécurité de la chaîne d'approvisionnement logicielle. Les nouvelles pistes aideront les utilisateurs à mieux comprendre et atténuer les risques associés aux chaînes d'approvisionnement logicielles et, en fin de compte, à développer, démontrer et utiliser des logiciels plus sûrs et plus fiables, selon OpenSSF. SLSA v1.0 fournit également des conseils plus explicites sur la façon de vérifier la provenance, ainsi que d'apporter les modifications correspondantes à la spécification et au format de provenance.
La Construire une piste Les niveaux 1 à 3, qui correspondent à peu près aux niveaux 1 à 3 des versions antérieures de la SLSA, décrivent les niveaux de protection contre la falsification pendant ou après la construction du logiciel. Les exigences de Build Track reflètent les tâches requises : produire des artefacts, vérifier les systèmes de génération et vérifier les artefacts. Les futures versions du cadre s'appuieront sur les exigences pour traiter d'autres aspects du cycle de vie de la livraison de logiciels.
La construction L1 indique la provenance, montrant comment le paquet a été construit ; La génération L2 indique une provenance signée, générée par un service de génération hébergé ; et Build L3 indique que le service de génération a été renforcé.
Plus le niveau est élevé, plus la confiance dans le fait qu'un paquet peut être retracé jusqu'à sa source et n'a pas été falsifié est élevée, a déclaré OpenSSF.
La sécurité de la chaîne d'approvisionnement des logiciels est un élément clé de l'administration Biden Stratégie nationale de cybersécurité des États-Unis, car elle pousse les fournisseurs de logiciels à assumer une plus grande responsabilité quant à la sécurité de leurs produits. Et récemment, 10 agences gouvernementales de sept pays (Australie, Canada, Allemagne, Pays-Bas, Nouvelle-Zélande, Royaume-Uni et États-Unis) ont publié de nouvelles directives, "Changer l'équilibre des risques liés à la cybersécurité : principes et approches de la sécurité par conception et par défaut», pour exhorter les développeurs de logiciels à prendre les mesures nécessaires pour s'assurer qu'ils livrent des produits qui sont à la fois sécurisés par conception et par défaut. Cela signifie supprimer les mots de passe par défaut, écrire dans des langages de programmation plus sûrs et établir des programmes de divulgation des vulnérabilités pour signaler les failles.
Dans le cadre de la sécurisation de la chaîne d'approvisionnement des logiciels, les équipes de sécurité doivent s'engager auprès des développeurs pour les éduquer sur les pratiques de codage sécurisé et adapter la formation de sensibilisation à la sécurité pour inclure les risques liés au cycle de vie du développement logiciel.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- La source: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :possède
- :est
- :ne pas
- 10
- 7
- a
- A Propos
- Selon
- propos
- Ajoute
- administration
- Après
- à opposer à
- agences
- le long de
- aussi
- an
- ainsi que le
- Application
- Le développement d'applications
- applications
- approches
- SONT
- AS
- d'aspect
- aspects
- associé
- Attaques
- Australie
- RETOUR
- soutenu
- Balance
- BE
- était
- Améliorée
- biden
- Administration de Biden
- tous les deux
- construire
- construit
- construit
- by
- CAN
- Canada
- chaîne
- Chaînes
- Modifications
- code
- Codage
- Commun
- Axé sur la communauté
- Sociétés
- conformité
- composant
- composants électriques
- confiance
- Contenant
- Correspondant
- d'exportation
- Cybersécurité
- cycle
- décisions
- Réglage par défaut
- page de livraison.
- démontrer
- Conception
- développer
- Développeur
- mobiles
- Développement
- divulgation
- pendant
- chacun
- Plus tôt
- éduquer
- engageant
- assurer
- entreprises
- établissement
- évaluer
- défauts
- se concentre
- suivre
- Pour
- le format
- à venir
- trouvé
- Fondation
- Framework
- cadres
- De
- avenir
- généré
- Allemagne
- Gouvernement
- plus grand
- l'orientation
- lignes directrices
- Vous avez
- vous aider
- Haute
- augmentation
- organisé
- Comment
- How To
- HTML
- HTTPS
- IBM
- satellite
- in
- comprendre
- croissant
- indique
- Intel
- développement
- IT
- SES
- jpg
- ACTIVITES
- Royaume
- L1
- l2
- Langues
- Nom de famille
- L'année dernière
- Niveau
- niveaux
- VIE
- linux
- fondation linux
- majeur
- a prendre une
- Fabrication
- veux dire
- mesurer
- mesure
- Microsoft
- Réduire les
- PLUS
- plusieurs
- Nationales
- nécessaire
- Besoin
- Netherlands
- Nouveauté
- New Zealand
- maintenant
- of
- on
- ONE
- ouvert
- open source
- or
- organisations
- Autre
- paquet
- partie
- particulier
- mots de passe
- Platon
- Intelligence des données Platon
- PlatonDonnées
- pratiques
- principes
- processus
- Produits
- Programmation
- langages de programmation
- Programmes
- Projet
- protection
- provenance
- fournisseurs
- fournit
- récemment
- reconnaître
- refléter
- régulièrement
- libéré
- fiable
- enlever
- Rapports
- conditions
- Exigences
- un article
- responsabilité
- réutiliser
- Analyse
- risques
- grossièrement
- s
- plus sûre
- Saïd
- dit
- sécurisé
- sécurisé
- sécurisation
- sécurité
- Sensibilisation à la sécurité
- service
- sept
- Livraison
- devrait
- signé
- Logiciels
- Développeurs de logiciels
- développement de logiciels
- Identifier
- code source
- Sources
- groupe de neurones
- spécification
- Normes
- États
- Étapes
- de Marketing
- tel
- la quantité
- chaîne d'approvisionnement
- Des chaînes d'approvisionnement
- Alentours
- Système
- Prenez
- discutons-en
- tâches
- équipes
- Technologie
- entreprises technologiques
- qui
- La
- Pays-Bas
- Le Royaume-Uni
- leur
- Les
- l'ont
- menace
- à
- les outils
- suivre
- Formation
- La confiance
- En fin de compte
- comprendre
- Uni
- Royaume Uni
- États-Unis
- utilisé
- d'utiliser
- utilisateurs
- v1
- vérifier
- vérifier
- vmware
- vulnérabilité
- était
- Façon..
- que
- qui
- sera
- comprenant
- dans les
- écriture
- an
- Zélande
- zéphyrnet
