Open Source Security Foundation (OpenSSF) telah merilis Supply-chain Levels for Software Artifacts (SLSA) v1.0 dengan ketentuan khusus untuk rantai pasokan perangkat lunak.
Tim pengembangan aplikasi modern secara rutin menggunakan kembali kode dari aplikasi lain dan mengambil komponen kode serta alat pengembang dari berbagai sumber. Penelitian dari Snyk dan Linux Foundation tahun lalu menemukan bahwa 41% organisasi tidak memiliki kepercayaan yang tinggi terhadap keamanan perangkat lunak open source. Dengan serangan rantai pasokan yang menimbulkan ancaman yang selalu ada dan terus berkembang, tim pengembangan perangkat lunak dan tim keamanan sekarang menyadari bahwa komponen dan kerangka kerja open source perlu diamankan.
SLSA adalah proyek standar keamanan rantai pasokan berbasis komunitas yang didukung oleh perusahaan teknologi besar, seperti Google, Intel, Microsoft, VMware, dan IBM. SLSA berfokus pada peningkatan ketelitian keamanan dalam proses pengembangan perangkat lunak. Pengembang dapat mengikuti pedoman SLSA untuk membuat rantai pasokan perangkat lunak mereka lebih aman, dan perusahaan dapat menggunakan SLSA untuk membuat keputusan tentang apakah akan mempercayai paket perangkat lunak, menurut Open Source Security Foundation.
SLSA memberikan kosakata umum untuk berbicara tentang keamanan rantai pasokan perangkat lunak; cara bagi pengembang untuk menilai dependensi upstream dengan mengevaluasi kepercayaan kode sumber, build, dan image container yang digunakan dalam aplikasi; daftar periksa keamanan yang dapat ditindaklanjuti; dan cara untuk mengukur kepatuhan terhadap Secure Software Development Framework (SSDF) yang akan datang.
Rilis SLSA v1.0 membagi persyaratan tingkat SLSA menjadi beberapa jalur, yang masing-masing mengukur aspek tertentu dari keamanan rantai pasokan perangkat lunak. Jalur baru ini akan membantu pengguna lebih memahami dan memitigasi risiko yang terkait dengan rantai pasokan perangkat lunak dan pada akhirnya mengembangkan, mendemonstrasikan, dan menggunakan perangkat lunak yang lebih aman dan andal, kata OpenSSF. SLSA v1.0 juga memberikan panduan yang lebih eksplisit tentang cara memverifikasi asal, serta melakukan perubahan terkait pada spesifikasi dan format asal.
Grafik Bangun Jalur Level 1-3, yang secara kasar sesuai dengan Level 1-3 di versi SLSA sebelumnya, menjelaskan tingkat perlindungan terhadap gangguan selama atau setelah pembuatan perangkat lunak. Persyaratan Build Track mencerminkan tugas yang diperlukan: memproduksi artefak, memverifikasi sistem build, dan memverifikasi artefak. Versi masa depan dari kerangka kerja ini akan membangun persyaratan untuk mengatasi aspek-aspek lain dari siklus hidup pengiriman perangkat lunak.
Build L1 menunjukkan asal, menunjukkan bagaimana paket itu dibuat; Build L2 menunjukkan asal yang ditandatangani, dihasilkan oleh layanan build yang dihosting; dan Build L3 menunjukkan layanan build telah diperkuat.
Semakin tinggi levelnya, semakin tinggi keyakinan bahwa sebuah paket dapat ditelusuri kembali ke sumbernya dan belum dirusak, kata OpenSSF.
Keamanan rantai pasokan perangkat lunak adalah komponen kunci dari administrasi Biden Strategi Keamanan Siber Nasional AS, karena hal ini mendorong penyedia perangkat lunak untuk memikul tanggung jawab yang lebih besar atas keamanan produk mereka. Dan baru-baru ini, 10 lembaga pemerintah dari tujuh negara (Australia, Kanada, Jerman, Belanda, Selandia Baru, Inggris, dan Amerika Serikat) merilis pedoman baru,โMenggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan Berdasarkan Desain dan Default,โ untuk mendesak pengembang perangkat lunak mengambil langkah-langkah yang diperlukan guna memastikan mereka mengirimkan produk yang aman baik secara desain maupun default. Itu berarti menghapus kata sandi default, menulis dalam bahasa pemrograman yang lebih aman, dan membuat program pengungkapan kerentanan untuk melaporkan kelemahan.
Sebagai bagian dari pengamanan rantai pasokan perangkat lunak, tim keamanan harus terlibat dengan pengembang untuk mendidik mereka tentang praktik pengkodean yang aman dan menyesuaikan pelatihan kesadaran keamanan untuk mencakup risiko seputar siklus hidup pengembangan perangkat lunak.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Sumber: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :memiliki
- :adalah
- :bukan
- 10
- 7
- a
- Tentang Kami
- Menurut
- alamat
- Menambahkan
- administrasi
- Setelah
- terhadap
- lembaga
- sepanjang
- juga
- an
- dan
- Aplikasi
- Pengembangan Aplikasi
- aplikasi
- pendekatan
- ADALAH
- AS
- penampilan
- aspek
- terkait
- Serangan
- Australia
- kesadaran
- kembali
- bersandaran
- Saldo
- BE
- menjadi
- Lebih baik
- biden
- Administrasi Biden
- kedua
- membangun
- membangun
- dibangun di
- by
- CAN
- Kanada
- rantai
- rantai
- Perubahan
- kode
- Pengkodean
- Umum
- Didorong oleh Komunitas
- Perusahaan
- pemenuhan
- komponen
- komponen
- kepercayaan
- Wadah
- Sesuai
- negara
- Keamanan cyber
- siklus
- keputusan
- Default
- pengiriman
- mendemonstrasikan
- Mendesain
- mengembangkan
- Pengembang
- pengembang
- Pengembangan
- penyingkapan
- selama
- setiap
- Terdahulu
- mendidik
- menarik
- memastikan
- perusahaan
- membangun
- mengevaluasi
- kekurangan
- berfokus
- mengikuti
- Untuk
- format
- yg akan datang
- ditemukan
- Prinsip Dasar
- Kerangka
- kerangka
- dari
- masa depan
- dihasilkan
- Jerman
- Pemerintah
- lebih besar
- bimbingan
- pedoman
- Memiliki
- membantu
- High
- lebih tinggi
- host
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTML
- HTTPS
- IBM
- gambar
- in
- memasukkan
- meningkatkan
- menunjukkan
- Intel
- ke
- IT
- NYA
- jpg
- kunci
- Kerajaan
- L1
- l2
- Bahasa
- Terakhir
- Tahun lalu
- Tingkat
- adalah ide yang bagus
- Hidup
- linux
- dasar linux
- utama
- membuat
- Membuat
- cara
- mengukur
- ukur
- Microsoft
- Mengurangi
- lebih
- beberapa
- nasional
- perlu
- Perlu
- Belanda
- New
- Selandia Baru
- sekarang
- of
- on
- ONE
- Buka
- open source
- or
- organisasi
- Lainnya
- paket
- bagian
- tertentu
- password
- plato
- Kecerdasan Data Plato
- Data Plato
- praktek
- prinsip-prinsip
- proses
- Produk
- Pemrograman
- bahasa pemrograman
- program
- proyek
- perlindungan
- asal
- penyedia
- menyediakan
- baru-baru ini
- mengenali
- mencerminkan
- secara teratur
- dirilis
- dapat diandalkan
- menghapus
- Pelaporan
- wajib
- Persyaratan
- penelitian
- tanggung jawab
- menggunakan kembali
- Risiko
- risiko
- kira-kira
- s
- lebih aman
- Tersebut
- mengatakan
- aman
- Dijamin
- mengamankan
- keamanan
- Kesadaran Keamanan
- layanan
- tujuh
- Pengiriman
- harus
- tertanda
- Perangkat lunak
- Pengembang Perangkat Lunak
- pengembangan perangkat lunak
- sumber
- kode sumber
- sumber
- tertentu
- spesifikasi
- standar
- Negara
- Tangga
- Penyelarasan
- seperti itu
- menyediakan
- supply chain
- Rantai pasokan
- Sekitarnya
- sistem
- Mengambil
- Berbicara
- tugas
- tim
- Teknologi
- perusahaan teknologi
- bahwa
- Grafik
- Belanda
- Inggris
- mereka
- Mereka
- mereka
- ancaman
- untuk
- alat
- jalur
- Pelatihan
- Kepercayaan
- Akhirnya
- memahami
- Serikat
- Inggris Raya
- Amerika Serikat
- menggunakan
- bekas
- Pengguna
- v1
- memeriksa
- memverifikasi
- vmware
- kerentanan
- adalah
- Cara..
- apakah
- yang
- akan
- dengan
- dalam
- penulisan
- tahun
- Zealand
- zephyrnet.dll
