קרן האבטחה בקוד פתוח (OpenSSF) פרסמה את גרסה 1.0 של Supply-chain Levels for Software Artifacts (SLSA) עם הוראות ספציפיות לשרשרת האספקה של התוכנה.
צוותי פיתוח יישומים מודרניים עושים שימוש חוזר באופן קבוע בקוד מיישומים אחרים ומושכים רכיבי קוד וכלי מפתחים ממקורות רבים. מחקר של Snyk וקרן לינוקס בשנה שעברה מצא כי 41% מהארגונים לא היה אמון גבוה באבטחת תוכנות קוד פתוח. עם התקפות שרשרת האספקה המהוות איום תמידי ומתפתח, גם צוותי פיתוח תוכנה וגם צוותי אבטחה מזהים כעת שיש לאבטח רכיבים ומסגרות קוד פתוח.
SLSA הוא פרויקט תקני אבטחה של שרשרת אספקה מונעת על ידי קהילה, המגובה על ידי חברות טכנולוגיה גדולות, כמו גוגל, אינטל, מיקרוסופט, VMware ו-IBM. SLSA מתמקדת בהגברת קפדנות האבטחה בתהליך פיתוח התוכנה. מפתחים יכולים לעקוב אחר ההנחיות של SLSA כדי להפוך את שרשרת אספקת התוכנה שלהם לאבטחה יותר, וארגונים יכולים להשתמש ב-SLSA כדי לקבל החלטות אם לסמוך על חבילת תוכנה, על פי קרן האבטחה בקוד פתוח.
SLSA מספקת אוצר מילים נפוץ לדבר על אבטחת שרשרת אספקת תוכנה; דרך למפתחים להעריך תלות במעלה הזרם על ידי הערכת האמינות של קוד המקור, ה-builds ותמונות המכולה המשמשות באפליקציה; רשימת תיוג אבטחה ניתנת לפעולה; ודרך למדוד עמידה ב-Secure Software Development Framework (SSDF) הקרובה.
מהדורת SLSA v1.0 מחלק את דרישות הרמה של SLSA למספר מסלולים, שכל אחד מהם מודד היבט מסוים של אבטחת שרשרת אספקת התוכנה. המסלולים החדשים יעזרו למשתמשים להבין טוב יותר ולהפחית את הסיכונים הקשורים לשרשרת אספקת תוכנה ובסופו של דבר לפתח, להדגים ולהשתמש בתוכנה מאובטחת ואמינה יותר, אומר OpenSSF. SLSA v1.0 מספק גם הדרכה מפורשת יותר כיצד לאמת את המקור, יחד עם ביצוע שינויים מתאימים במפרט ובפורמט המקור.
השמיים בניית מסלול רמות 1-3, המתאימות בערך לרמות 1-3 בגרסאות SLSA קודמות, מתארות רמות הגנה מפני שיבוש במהלך או לאחר בניית תוכנה. דרישות ה-Build Track משקפות את המשימות הנדרשות: ייצור חפצים, אימות מערכות בנייה ואימות חפצים. גרסאות עתידיות של המסגרת יבנו על דרישות לטיפול בהיבטים אחרים של מחזור החיים של אספקת התוכנה.
Build L1 מציין מקור, מראה כיצד נבנתה החבילה; Build L2 מציין מקור חתום, שנוצר על ידי שירות בנייה מתארח; ו-Build L3 מציין ששירות הבנייה הוקשח.
ככל שהרמה גבוהה יותר, כך גדל הביטחון שניתן לאתר חבילה למקורה ולא טופלה בה, אמר OpenSSF.
אבטחת שרשרת אספקת התוכנה היא מרכיב מרכזי בממשל ביידן אסטרטגיית אבטחת סייבר לאומית של ארה"ב, מכיוון שהוא דוחף ספקי תוכנה לקחת אחריות רבה יותר על אבטחת המוצרים שלהם. ולאחרונה, 10 סוכנויות ממשלתיות משבע מדינות (אוסטרליה, קנדה, גרמניה, הולנד, ניו זילנד, בריטניה וארצות הברית) פרסמו הנחיות חדשות, "שינוי האיזון של סיכוני אבטחת סייבר: עקרונות וגישות לאבטחה לפי עיצוב ו-ברירת מחדל", כדי לדרבן מפתחי תוכנה לנקוט בצעדים הדרושים כדי להבטיח שהם שולחים מוצרים שהם גם מאובטחים בתכנון וגם כברירת מחדל. המשמעות היא הסרת סיסמאות ברירת מחדל, כתיבה בשפות תכנות בטוחות יותר והקמת תוכניות לגילוי נקודות תורפה לדיווח על פגמים.
כחלק מאבטחת שרשרת אספקת התוכנה, צוותי אבטחה צריכים להיות מעורבים עם מפתחים כדי ללמד אותם על נהלי קידוד מאובטח ולהתאים הדרכת מודעות לאבטחה כך שיכללו את הסיכונים סביב מחזור החיים של פיתוח התוכנה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :יש ל
- :הוא
- :לֹא
- 10
- 7
- a
- אודות
- פי
- כתובת
- מוסיף
- מנהל
- לאחר
- נגד
- סוכנויות
- לאורך
- גם
- an
- ו
- בקשה
- פיתוח אפליקציות
- יישומים
- גישות
- ARE
- AS
- אספקט
- היבטים
- המשויך
- המתקפות
- אוסטרליה
- מודעות
- בחזרה
- מגובה
- איזון
- BE
- היה
- מוטב
- ביידן
- מינהל ביידן
- שניהם
- לִבנוֹת
- בונה
- נבנה
- by
- CAN
- קנדה
- שרשרת
- שרשראות
- שינויים
- קוד
- סִמוּל
- Common
- מונחה קהילה
- חברות
- הענות
- רְכִיב
- רכיבים
- אמון
- מכולה
- תוֹאֵם
- מדינות
- אבטחת סייבר
- מחזור
- החלטות
- בְּרִירַת מֶחדָל
- מסירה
- להפגין
- עיצוב
- לפתח
- מפתח
- מפתחים
- צעצועי התפתחות
- חשיפה
- בְּמַהֲלָך
- כל אחד
- מוקדם יותר
- לחנך
- מרתק
- לְהַבטִיחַ
- חברות
- מקימים
- הערכה
- פגמים
- מתמקד
- לעקוב
- בעד
- פוּרמָט
- הבא
- מצא
- קרן
- מסגרת
- מסגרות
- החל מ-
- עתיד
- נוצר
- גרמניה
- ממשלה
- יותר
- הדרכה
- הנחיות
- יש
- לעזור
- גָבוֹהַ
- גבוה יותר
- אירח
- איך
- איך
- HTML
- HTTPS
- יבמ
- תמונות
- in
- לכלול
- גדל
- מצביע על
- אינטל
- אל תוך
- IT
- שֶׁלָה
- jpg
- מפתח
- מלכות
- L1
- l2
- שפות
- אחרון
- שנה שעברה
- רמה
- רמות
- החיים
- לינוקס
- בסיס לינוקס
- גדול
- לעשות
- עשייה
- אומר
- למדוד
- מדידת
- מיקרוסופט
- להקל
- יותר
- מספר
- לאומי
- הכרחי
- צורך
- הולנד
- חדש
- ניו זילנד
- עַכשָׁיו
- of
- on
- ONE
- לפתוח
- קוד פתוח
- or
- ארגונים
- אחר
- חבילה
- חלק
- מסוים
- סיסמאות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פרקטיקות
- עקרונות
- תהליך
- מוצרים
- תכנות
- שפות תכנות
- תוכניות
- פּרוֹיֶקט
- .
- מוֹצָא
- ספקים
- מספק
- לאחרונה
- להכיר
- לשקף
- באופן קבוע
- שוחרר
- אָמִין
- הסרת
- דווח
- נדרש
- דרישות
- מחקר
- אחריות
- שימוש חוזר
- הסיכון
- סיכונים
- בערך
- s
- בטוח יותר
- אמר
- אומר
- לבטח
- מְאוּבטָח
- אַבטָחָה
- אבטחה
- מודעות ביטחונית
- שרות
- שבע
- משלוח
- צריך
- חָתוּם
- תוכנה
- מפתחי תוכנה
- פיתוח תוכנה
- מָקוֹר
- קוד מקור
- מקורות
- ספציפי
- מפרט
- תקנים
- הברית
- צעדים
- אִסטרָטֶגִיָה
- כזה
- לספק
- שרשרת אספקה
- שרשראות אספקה
- הסובב
- מערכות
- לקחת
- לדבר
- משימות
- צוותי
- טכנולוגיה
- חברות טכנולוגיה
- זֶה
- השמיים
- הולנד
- הממלכה המאוחדת
- שֶׁלָהֶם
- אותם
- הֵם
- איום
- ל
- כלים
- לעקוב
- הדרכה
- סומך
- בסופו של דבר
- להבין
- מאוחד
- בריטניה
- ארצות הברית
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- v1
- לאמת
- אימות
- VMware
- פגיעות
- היה
- דֶרֶך..
- אם
- אשר
- יצטרך
- עם
- בתוך
- כתיבה
- שנה
- זילנד
- זפירנט