La Open Source Security Foundation (OpenSSF) ha rilasciato la versione 1.0 di Supply-chain Levels for Software Artifacts (SLSA) con disposizioni specifiche per la catena di fornitura del software.
I moderni team di sviluppo delle applicazioni riutilizzano regolarmente il codice di altre applicazioni ed estraggono componenti di codice e strumenti di sviluppo da una miriade di fonti. Una ricerca condotta da Snyk e Linux Foundation lo scorso anno ha rilevato che il 41% delle organizzazioni non aveva molta fiducia nella sicurezza del software open source. Poiché gli attacchi alla catena di fornitura rappresentano una minaccia sempre presente e in continua evoluzione, sia i team di sviluppo software che quelli di sicurezza riconoscono ora che i componenti e i framework open source devono essere protetti.
SLSA è un progetto di standard di sicurezza della catena di fornitura guidato dalla comunità e sostenuto dalle principali aziende tecnologiche, come Google, Intel, Microsoft, VMware e IBM. SLSA si concentra sull'aumento del rigore della sicurezza all'interno del processo di sviluppo del software. Secondo la Open Source Security Foundation, gli sviluppatori possono seguire le linee guida di SLSA per rendere la catena di fornitura del software più sicura e le aziende possono utilizzare SLSA per decidere se fidarsi o meno di un pacchetto software.
SLSA fornisce un vocabolario comune per parlare di sicurezza della catena di fornitura del software; un modo per gli sviluppatori di valutare le dipendenze a monte valutando l'affidabilità del codice sorgente, delle build e delle immagini del contenitore utilizzate nell'applicazione; una checklist di sicurezza attuabile; e un modo per misurare la conformità con il prossimo Secure Software Development Framework (SSDF).
La versione SLSA v1.0 divide i requisiti del livello SLSA in più tracce, ciascuna delle quali misura un aspetto particolare della sicurezza della catena di fornitura del software. I nuovi percorsi aiuteranno gli utenti a comprendere e mitigare meglio i rischi associati alle catene di fornitura del software e, in definitiva, a sviluppare, dimostrare e utilizzare software più sicuro e affidabile, afferma OpenSSF. SLSA v1.0 fornisce inoltre indicazioni più esplicite su come verificare la provenienza, oltre ad apportare le modifiche corrispondenti alle specifiche e al formato di provenienza.
Il Costruisci traccia I livelli 1-3, che corrispondono approssimativamente ai livelli 1-3 nelle versioni precedenti di SLSA, descrivono i livelli di protezione contro la manomissione durante o dopo la creazione del software. I requisiti di Build Track riflettono le attività richieste: produzione di artefatti, verifica dei sistemi di build e verifica degli artefatti. Le versioni future del framework si baseranno sui requisiti per affrontare altri aspetti del ciclo di vita della distribuzione del software.
La build L1 indica la provenienza, mostrando come è stato costruito il pacchetto; Build L2 indica la provenienza firmata, generata da un servizio di build ospitato; e Build L3 indica che il servizio di build è stato rafforzato.
Più alto è il livello, maggiore è la certezza che un pacchetto possa essere ricondotto alla sua fonte e non sia stato manomesso, ha affermato OpenSSF.
La sicurezza della catena di fornitura del software è una componente chiave dell'amministrazione Biden Strategia nazionale statunitense per la sicurezza informatica, poiché spinge i fornitori di software ad assumersi maggiori responsabilità per la sicurezza dei loro prodotti. E recentemente, 10 agenzie governative di sette paesi (Australia, Canada, Germania, Paesi Bassi, Nuova Zelanda, Regno Unito e Stati Uniti) hanno pubblicato nuove linee guida, “Spostare l’equilibrio del rischio di sicurezza informatica: principi e approcci per la sicurezza fin dalla progettazione e per impostazione predefinita”, per sollecitare gli sviluppatori di software ad adottare le misure necessarie per garantire che la spedizione di prodotti sia sicura sia per progettazione che per impostazione predefinita. Ciò significa rimuovere le password predefinite, scrivere in linguaggi di programmazione più sicuri e stabilire programmi di divulgazione delle vulnerabilità per segnalare difetti.
Nell’ambito della protezione della catena di fornitura del software, i team di sicurezza dovrebbero collaborare con gli sviluppatori per istruirli sulle pratiche di codifica sicure e personalizzare la formazione sulla consapevolezza della sicurezza per includere i rischi che circondano il ciclo di vita dello sviluppo del software.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :ha
- :È
- :non
- 10
- 7
- a
- WRI
- Secondo
- indirizzo
- Aggiunge
- amministrazione
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzie
- lungo
- anche
- an
- ed
- Applicazioni
- Sviluppo di applicazioni
- applicazioni
- approcci
- SONO
- AS
- aspetto
- aspetti
- associato
- attacchi
- Australia
- consapevolezza
- precedente
- Backed
- Equilibrio
- BE
- stato
- Meglio
- Biden
- Amministrazione Biden
- entrambi
- costruire
- costruisce
- costruito
- by
- Materiale
- Canada
- catena
- Catene
- Modifiche
- codice
- codifica
- Uncommon
- Guidato dalla comunità
- Aziende
- conformità
- componente
- componenti
- fiducia
- Contenitore
- Corrispondente
- paesi
- Cybersecurity
- ciclo
- decisioni
- Predefinito
- consegna
- dimostrare
- Design
- sviluppare
- Costruttori
- sviluppatori
- Mercato
- Rivelazione
- durante
- ogni
- In precedenza
- educare
- impegnandosi
- garantire
- aziende
- stabilire
- la valutazione
- difetti
- si concentra
- seguire
- Nel
- formato
- imminente
- essere trovato
- Fondazione
- Contesto
- quadri
- da
- futuro
- generato
- Germania
- Enti Pubblici
- maggiore
- guida
- linee guida
- Avere
- Aiuto
- Alta
- superiore
- ospitato
- Come
- Tutorial
- HTML
- HTTPS
- IBM
- immagini
- in
- includere
- crescente
- indica
- Intel
- ai miglioramenti
- IT
- SUO
- jpg
- Le
- Regno
- L1
- l2
- Le Lingue
- Cognome
- L'anno scorso
- Livello
- livelli
- Vita
- linux
- fondazione linux
- maggiore
- make
- Fare
- si intende
- misurare
- di misura
- Microsoft
- Ridurre la perdita dienergia con una
- Scopri di più
- multiplo
- il
- necessaria
- Bisogno
- Olanda
- New
- Nuova Zelanda
- adesso
- of
- on
- ONE
- aprire
- open source
- or
- organizzazioni
- Altro
- pacchetto
- parte
- particolare
- Le password
- Platone
- Platone Data Intelligence
- PlatoneDati
- pratiche
- principi
- processi
- Prodotti
- Programmazione
- linguaggi di programmazione
- Programmi
- progetto
- protezione
- provenienza
- fornitori
- fornisce
- recentemente
- riconoscere
- riflettere
- regolarmente
- rilasciato
- affidabile
- rimozione
- Reportistica
- necessario
- Requisiti
- riparazioni
- responsabilità
- riutilizzare
- Rischio
- rischi
- approssimativamente
- s
- più sicuro
- Suddetto
- dice
- sicuro
- assicurato
- fissaggio
- problemi di
- Consapevolezza della sicurezza
- servizio
- Sette
- Spedizione
- dovrebbero
- firmato
- Software
- Sviluppatori di software
- lo sviluppo del software
- Fonte
- codice sorgente
- fonti
- specifico
- specificazione
- standard
- stati
- Passi
- Strategia
- tale
- fornire
- supply chain
- Catene di fornitura
- Circostante
- SISTEMI DI TRATTAMENTO
- Fai
- Parlare
- task
- le squadre
- Tecnologia
- società tecnologiche
- che
- Il
- paesi Bassi
- il Regno Unito
- loro
- Li
- di
- minaccia
- a
- strumenti
- pista
- Training
- Affidati ad
- in definitiva
- capire
- Unito
- UK
- Stati Uniti
- uso
- utilizzato
- utenti
- v1
- verificare
- verifica
- vmware
- vulnerabilità
- Prima
- Modo..
- se
- quale
- volere
- con
- entro
- scrittura
- anno
- Zelanda
- zefiro
