OpenSSF מוסיף מסלולי שרשרת אספקה ​​של תוכנה ל-SLSA Framework

קרן האבטחה בקוד פתוח (OpenSSF) פרסמה את גרסה 1.0 של Supply-chain Levels for Software Artifacts (SLSA) עם הוראות ספציפיות לשרשרת האספקה ​​של התוכנה.

צוותי פיתוח יישומים מודרניים עושים שימוש חוזר באופן קבוע בקוד מיישומים אחרים ומושכים רכיבי קוד וכלי מפתחים ממקורות רבים. מחקר של Snyk וקרן לינוקס בשנה שעברה מצא כי 41% מהארגונים לא היה אמון גבוה באבטחת תוכנות קוד פתוח. עם התקפות שרשרת האספקה ​​המהוות איום תמידי ומתפתח, גם צוותי פיתוח תוכנה וגם צוותי אבטחה מזהים כעת שיש לאבטח רכיבים ומסגרות קוד פתוח.

SLSA הוא פרויקט תקני אבטחה של שרשרת אספקה ​​מונעת על ידי קהילה, המגובה על ידי חברות טכנולוגיה גדולות, כמו גוגל, אינטל, מיקרוסופט, VMware ו-IBM. SLSA מתמקדת בהגברת קפדנות האבטחה בתהליך פיתוח התוכנה. מפתחים יכולים לעקוב אחר ההנחיות של SLSA כדי להפוך את שרשרת אספקת התוכנה שלהם לאבטחה יותר, וארגונים יכולים להשתמש ב-SLSA כדי לקבל החלטות אם לסמוך על חבילת תוכנה, על פי קרן האבטחה בקוד פתוח.

SLSA מספקת אוצר מילים נפוץ לדבר על אבטחת שרשרת אספקת תוכנה; דרך למפתחים להעריך תלות במעלה הזרם על ידי הערכת האמינות של קוד המקור, ה-builds ותמונות המכולה המשמשות באפליקציה; רשימת תיוג אבטחה ניתנת לפעולה; ודרך למדוד עמידה ב-Secure Software Development Framework (SSDF) הקרובה.

מהדורת SLSA v1.0 מחלק את דרישות הרמה של SLSA למספר מסלולים, שכל אחד מהם מודד היבט מסוים של אבטחת שרשרת אספקת התוכנה. המסלולים החדשים יעזרו למשתמשים להבין טוב יותר ולהפחית את הסיכונים הקשורים לשרשרת אספקת תוכנה ובסופו של דבר לפתח, להדגים ולהשתמש בתוכנה מאובטחת ואמינה יותר, אומר OpenSSF. SLSA v1.0 מספק גם הדרכה מפורשת יותר כיצד לאמת את המקור, יחד עם ביצוע שינויים מתאימים במפרט ובפורמט המקור.

השמיים בניית מסלול רמות 1-3, המתאימות בערך לרמות 1-3 בגרסאות SLSA קודמות, מתארות רמות הגנה מפני שיבוש במהלך או לאחר בניית תוכנה. דרישות ה-Build Track משקפות את המשימות הנדרשות: ייצור חפצים, אימות מערכות בנייה ואימות חפצים. גרסאות עתידיות של המסגרת יבנו על דרישות לטיפול בהיבטים אחרים של מחזור החיים של אספקת התוכנה.

Build L1 מציין מקור, מראה כיצד נבנתה החבילה; Build L2 מציין מקור חתום, שנוצר על ידי שירות בנייה מתארח; ו-Build L3 מציין ששירות הבנייה הוקשח.

ככל שהרמה גבוהה יותר, כך גדל הביטחון שניתן לאתר חבילה למקורה ולא טופלה בה, אמר OpenSSF.

אבטחת שרשרת אספקת התוכנה היא מרכיב מרכזי בממשל ביידן אסטרטגיית אבטחת סייבר לאומית של ארה"ב, מכיוון שהוא דוחף ספקי תוכנה לקחת אחריות רבה יותר על אבטחת המוצרים שלהם. ולאחרונה, 10 סוכנויות ממשלתיות משבע מדינות (אוסטרליה, קנדה, גרמניה, הולנד, ניו זילנד, בריטניה וארצות הברית) פרסמו הנחיות חדשות, "שינוי האיזון של סיכוני אבטחת סייבר: עקרונות וגישות לאבטחה לפי עיצוב ו-ברירת מחדל", כדי לדרבן מפתחי תוכנה לנקוט בצעדים הדרושים כדי להבטיח שהם שולחים מוצרים שהם גם מאובטחים בתכנון וגם כברירת מחדל. המשמעות היא הסרת סיסמאות ברירת מחדל, כתיבה בשפות תכנות בטוחות יותר והקמת תוכניות לגילוי נקודות תורפה לדיווח על פגמים.

כחלק מאבטחת שרשרת אספקת התוכנה, צוותי אבטחה צריכים להיות מעורבים עם מפתחים כדי ללמד אותם על נהלי קידוד מאובטח ולהתאים הדרכת מודעות לאבטחה כך שיכללו את הסיכונים סביב מחזור החיים של פיתוח התוכנה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• מקור: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework