ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) ने सॉफ्टवेयर सप्लाई चेन के लिए विशिष्ट प्रावधानों के साथ सॉफ्टवेयर आर्टिफैक्ट्स (एसएलएसए) के लिए सप्लाई-चेन लेवल का v1.0 जारी किया है।
आधुनिक एप्लिकेशन विकास टीमें नियमित रूप से अन्य एप्लिकेशन से कोड का पुन: उपयोग करती हैं और असंख्य स्रोतों से कोड घटकों और डेवलपर टूल को खींचती हैं। पिछले साल Snyk और Linux फाउंडेशन के शोध में पाया गया कि 41% संगठन उन्हें ओपन सोर्स सॉफ़्टवेयर सुरक्षा पर अधिक भरोसा नहीं था. आपूर्ति शृंखला हमलों के कारण वर्तमान और निरंतर विकसित होने वाला खतरा पैदा हो गया है, सॉफ्टवेयर विकास टीमें और सुरक्षा टीमें अब मानती हैं कि ओपन सोर्स घटकों और रूपरेखाओं को सुरक्षित करने की आवश्यकता है।
एसएलएसए एक समुदाय-संचालित आपूर्ति श्रृंखला सुरक्षा मानक परियोजना है जो Google, Intel, Microsoft, VMware और IBM जैसी प्रमुख प्रौद्योगिकी कंपनियों द्वारा समर्थित है। एसएलएसए सॉफ्टवेयर विकास प्रक्रिया के भीतर सुरक्षा कठोरता बढ़ाने पर ध्यान केंद्रित करता है। ओपन सोर्स सिक्योरिटी फाउंडेशन के अनुसार, डेवलपर्स अपनी सॉफ्टवेयर आपूर्ति श्रृंखला को अधिक सुरक्षित बनाने के लिए एसएलएसए के दिशानिर्देशों का पालन कर सकते हैं, और उद्यम किसी सॉफ्टवेयर पैकेज पर भरोसा करना है या नहीं, इसके बारे में निर्णय लेने के लिए एसएलएसए का उपयोग कर सकते हैं।
एसएलएसए सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के बारे में बात करने के लिए एक सामान्य शब्दावली प्रदान करता है; डेवलपर्स के लिए एप्लिकेशन में उपयोग किए गए स्रोत कोड, बिल्ड और कंटेनर छवियों की विश्वसनीयता का मूल्यांकन करके अपस्ट्रीम निर्भरता का आकलन करने का एक तरीका; एक कार्रवाई योग्य सुरक्षा जाँच सूची; और आगामी सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) के अनुपालन को मापने का एक तरीका।
एसएलएसए v1.0 रिलीज़ एसएलएसए की स्तर की आवश्यकताओं को कई ट्रैकों में विभाजित करता है, प्रत्येक ट्रैक सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के एक विशेष पहलू को मापता है। ओपनएसएसएफ का कहना है कि नए ट्रैक उपयोगकर्ताओं को सॉफ्टवेयर आपूर्ति श्रृंखलाओं से जुड़े जोखिमों को बेहतर ढंग से समझने और कम करने में मदद करेंगे और अंततः अधिक सुरक्षित और विश्वसनीय सॉफ्टवेयर विकसित, प्रदर्शित और उपयोग करेंगे। एसएलएसए v1.0 विनिर्देश और उद्गम प्रारूप में संगत परिवर्तन करने के साथ-साथ उद्गम को सत्यापित करने के तरीके पर अधिक स्पष्ट मार्गदर्शन भी प्रदान करता है।
RSI ट्रैक बनाएं स्तर 1-3, जो मोटे तौर पर पहले के एसएलएसए संस्करणों के स्तर 1-3 के अनुरूप है, सॉफ्टवेयर निर्माण के दौरान या उसके बाद छेड़छाड़ के खिलाफ सुरक्षा के स्तर का वर्णन करता है। बिल्ड ट्रैक आवश्यकताएँ आवश्यक कार्यों को दर्शाती हैं: कलाकृतियों का निर्माण करना, बिल्ड सिस्टम का सत्यापन करना और कलाकृतियों का सत्यापन करना। फ़्रेमवर्क के भविष्य के संस्करण सॉफ़्टवेयर डिलीवरी जीवन चक्र के अन्य पहलुओं को संबोधित करने के लिए आवश्यकताओं पर आधारित होंगे।
बिल्ड L1 उत्पत्ति को इंगित करता है, यह दर्शाता है कि पैकेज कैसे बनाया गया था; बिल्ड एल2 एक होस्टेड बिल्ड सेवा द्वारा उत्पन्न हस्ताक्षरित उत्पत्ति को इंगित करता है; और बिल्ड L3 इंगित करता है कि बिल्ड सेवा सख्त कर दी गई है।
ओपनएसएसएफ ने कहा कि स्तर जितना ऊंचा होगा, यह विश्वास उतना ही अधिक होगा कि किसी पैकेज का उसके स्रोत से पता लगाया जा सकता है और उसके साथ कोई छेड़छाड़ नहीं की गई है।
सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा बिडेन प्रशासन का एक प्रमुख घटक है अमेरिकी राष्ट्रीय साइबर सुरक्षा रणनीति, क्योंकि यह सॉफ्टवेयर प्रदाताओं को अपने उत्पादों की सुरक्षा के लिए अधिक जिम्मेदारी लेने के लिए प्रेरित करता है। और हाल ही में, सात देशों (ऑस्ट्रेलिया, कनाडा, जर्मनी, नीदरलैंड, न्यूजीलैंड, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका) की 10 सरकारी एजेंसियों ने नए दिशानिर्देश जारी किए, "साइबर सुरक्षा जोखिम के संतुलन को बदलना: सुरक्षा-दर-डिज़ाइन और डिफ़ॉल्ट के लिए सिद्धांत और दृष्टिकोण, “सॉफ़्टवेयर डेवलपर्स से यह सुनिश्चित करने के लिए आवश्यक कदम उठाने का आग्रह करना कि वे ऐसे उत्पादों की शिपिंग कर रहे हैं जो डिज़ाइन और डिफ़ॉल्ट दोनों तरह से सुरक्षित हैं। इसका मतलब है डिफ़ॉल्ट पासवर्ड हटाना, सुरक्षित प्रोग्रामिंग भाषाओं में लिखना और खामियों की रिपोर्ट करने के लिए भेद्यता प्रकटीकरण कार्यक्रम स्थापित करना।
सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के हिस्से के रूप में, सुरक्षा टीमों को डेवलपर्स के साथ जुड़ना चाहिए ताकि उन्हें सुरक्षित कोडिंग प्रथाओं के बारे में शिक्षित किया जा सके और सॉफ्टवेयर विकास जीवन चक्र के आसपास के जोखिमों को शामिल करने के लिए सुरक्षा जागरूकता प्रशिक्षण तैयार किया जा सके।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :हैस
- :है
- :नहीं
- 10
- 7
- a
- About
- अनुसार
- पता
- जोड़ता है
- प्रशासन
- बाद
- के खिलाफ
- एजेंसियों
- साथ में
- भी
- an
- और
- आवेदन
- अनुप्रयोग विकास
- अनुप्रयोगों
- दृष्टिकोण
- हैं
- AS
- पहलू
- पहलुओं
- जुड़े
- आक्रमण
- ऑस्ट्रेलिया
- जागरूकता
- वापस
- अस्तरवाला
- शेष
- BE
- किया गया
- बेहतर
- बिडेन
- बिडेन प्रशासन
- के छात्रों
- निर्माण
- बनाता है
- बनाया गया
- by
- कर सकते हैं
- कनाडा
- श्रृंखला
- चेन
- परिवर्तन
- कोड
- कोडन
- सामान्य
- समुदाय संचालित
- कंपनियों
- अनुपालन
- अंग
- घटकों
- आत्मविश्वास
- कंटेनर
- इसी
- देशों
- साइबर सुरक्षा
- चक्र
- निर्णय
- चूक
- प्रसव
- दिखाना
- डिज़ाइन
- विकसित करना
- डेवलपर
- डेवलपर्स
- विकास
- प्रकटीकरण
- दौरान
- से प्रत्येक
- पूर्व
- शिक्षित करना
- मनोहन
- सुनिश्चित
- उद्यम
- स्थापना
- का मूल्यांकन
- खामियां
- केंद्रित
- का पालन करें
- के लिए
- प्रारूप
- आगामी
- पाया
- बुनियाद
- ढांचा
- चौखटे
- से
- भविष्य
- उत्पन्न
- जर्मनी
- गूगल
- सरकार
- अधिक से अधिक
- मार्गदर्शन
- दिशा निर्देशों
- है
- मदद
- हाई
- उच्चतर
- मेजबानी
- कैसे
- How To
- एचटीएमएल
- HTTPS
- आईबीएम
- छवियों
- in
- शामिल
- बढ़ती
- इंगित करता है
- इंटेल
- में
- IT
- आईटी इस
- जेपीजी
- कुंजी
- राज्य
- L1
- l2
- भाषाऐं
- पिछली बार
- पिछले साल
- स्तर
- स्तर
- जीवन
- लिनक्स
- लिनक्स फाउंडेशन
- प्रमुख
- बनाना
- निर्माण
- साधन
- माप
- मापने
- माइक्रोसॉफ्ट
- कम करना
- अधिक
- विभिन्न
- राष्ट्रीय
- आवश्यक
- आवश्यकता
- नीदरलैंड्स
- नया
- न्यूजीलैंड
- अभी
- of
- on
- ONE
- खुला
- खुला स्रोत
- or
- संगठनों
- अन्य
- पैकेज
- भाग
- विशेष
- पासवर्ड
- पीडीएफ
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्रथाओं
- सिद्धांतों
- प्रक्रिया
- उत्पाद
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- प्रोग्राम्स
- परियोजना
- सुरक्षा
- सूत्र
- प्रदाताओं
- प्रदान करता है
- हाल ही में
- पहचान
- प्रतिबिंबित
- नियमित तौर पर
- रिहा
- विश्वसनीय
- हटाने
- रिपोर्टिंग
- अपेक्षित
- आवश्यकताएँ
- अनुसंधान
- जिम्मेदारी
- पुनः प्रयोग
- जोखिम
- जोखिम
- लगभग
- s
- सुरक्षित
- कहा
- कहते हैं
- सुरक्षित
- सिक्योर्ड
- हासिल करने
- सुरक्षा
- सुरक्षा जागरूकता
- सेवा
- सात
- शिपिंग
- चाहिए
- पर हस्ताक्षर किए
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- सॉफ्टवेयर विकास
- स्रोत
- स्रोत कोड
- सूत्रों का कहना है
- विशिष्ट
- विनिर्देश
- मानकों
- राज्य
- कदम
- स्ट्रेटेजी
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- पहुंचाने का तरीका
- आसपास के
- सिस्टम
- लेना
- बातचीत
- कार्य
- टीमों
- टेक्नोलॉजी
- प्रौद्योगिकी कंपनियों
- कि
- RSI
- नीदरलैंड
- यूनाइटेड किंगडम
- लेकिन हाल ही
- उन
- वे
- धमकी
- सेवा मेरे
- उपकरण
- ट्रैक
- प्रशिक्षण
- ट्रस्ट
- अंत में
- समझना
- यूनाइटेड
- यूनाइटेड किंगडम
- संयुक्त राज्य अमेरिका
- उपयोग
- प्रयुक्त
- उपयोगकर्ताओं
- v1
- सत्यापित
- पुष्टि करने
- vmware
- भेद्यता
- था
- मार्ग..
- या
- कौन कौन से
- मर्जी
- साथ में
- अंदर
- लिख रहे हैं
- वर्ष
- न्यूजीलैंड
- जेफिरनेट