Open Source Security Foundation (OpenSSF) は、ソフトウェア サプライ チェーンの特定の規定を備えたソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) の v1.0 をリリースしました。
最新のアプリケーション開発チームは、定期的に他のアプリケーションのコードを再利用し、無数のソースからコード コンポーネントと開発者ツールを引き出しています。 昨年の Snyk と Linux Foundation の調査によると、組織の 41% は オープンソース ソフトウェアのセキュリティに高い信頼を持っていなかった. サプライ チェーンへの攻撃が絶えず存在し、進化し続ける脅威をもたらしているため、ソフトウェア開発チームとセキュリティ チームの両方が、オープン ソース コンポーネントとフレームワークを保護する必要があることを認識しています。
SLSA は、Google、Intel、Microsoft、VMware、IBM などの主要なテクノロジー企業が支援するコミュニティ主導のサプライ チェーン セキュリティ標準プロジェクトです。 SLSA は、ソフトウェア開発プロセス内でセキュリティの厳格さを高めることに重点を置いています。 Open Source Security Foundation によると、開発者は SLSA のガイドラインに従ってソフトウェア サプライ チェーンをより安全にすることができ、企業は SLSA を使用してソフトウェア パッケージを信頼するかどうかを決定できます。
SLSA は、ソフトウェア サプライ チェーンのセキュリティに関する共通語彙を提供します。 アプリケーションで使用されるソース コード、ビルド、およびコンテナー イメージの信頼性を評価することにより、開発者がアップストリームの依存関係を評価する方法。 実用的なセキュリティ チェックリスト。 また、近日公開予定の Secure Software Development Framework (SSDF) への準拠を測定する方法。
SLSA v1.0 リリース SLSA のレベル要件を複数のトラックに分割し、それぞれがソフトウェア サプライ チェーン セキュリティの特定の側面を測定します。 OpenSSF によると、新しいトラックは、ユーザーがソフトウェア サプライ チェーンに関連するリスクをよりよく理解し、軽減し、最終的にはより安全で信頼性の高いソフトウェアを開発、実証、および使用するのに役立ちます。 SLSA v1.0 は、仕様と来歴形式に対応する変更を加えるとともに、来歴を検証する方法についてより明確なガイダンスも提供します。
ビルドトラック レベル 1 ~ 3 は、以前の SLSA バージョンのレベル 1 ~ 3 にほぼ対応しており、ソフトウェアのビルド中またはビルド後の改ざんに対する保護のレベルを示しています。 ビルド トラックの要件は、アーティファクトの作成、ビルド システムの検証、アーティファクトの検証など、必要なタスクを反映しています。 フレームワークの将来のバージョンは、ソフトウェア配信ライフ サイクルの他の側面に対処するための要件に基づいて構築されます。
ビルド L1 は出所を示し、パッケージがどのようにビルドされたかを示します。 ビルド L2 は、ホストされたビルド サービスによって生成された署名付きの来歴を示します。 Build L3 は、ビルド サービスが強化されたことを示します。
OpenSSFによると、レベルが高いほど、パッケージがソースまでさかのぼって改ざんされていないという信頼性が高くなります。
ソフトウェア サプライ チェーンのセキュリティは、バイデン政権の重要な要素です。 米国の国家サイバーセキュリティ戦略、 ソフトウェア プロバイダーは、自社製品のセキュリティに対してより大きな責任を負うことになります。 そして最近、10 カ国 (オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、イギリス、アメリカ) の XNUMX の政府機関が新しいガイドラインを発表しました。サイバーセキュリティ リスクのバランスを変える: Security-by-Design と -Default の原則とアプローチソフトウェア開発者に対し、設計とデフォルトの両方で安全な製品を確実に出荷するために必要な措置を講じるよう促します。 つまり、デフォルトのパスワードを削除し、より安全なプログラミング言語で記述し、欠陥を報告するための脆弱性開示プログラムを確立することを意味します。
ソフトウェア サプライ チェーンの保護の一環として、セキュリティ チームは開発者と協力して、安全なコーディング プラクティスについて教育し、ソフトウェア開発ライフ サイクルを取り巻くリスクを含むようにセキュリティ意識向上トレーニングを調整する必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :持っている
- :は
- :not
- 10
- 7
- a
- 私たちについて
- 従った
- 住所
- 追加
- 管理
- 後
- に対して
- 機関
- 沿って
- また
- an
- および
- 申し込み
- アプリケーション開発
- アプローチ
- です
- AS
- 側面
- 側面
- 関連する
- 攻撃
- オーストラリア
- 認知度
- バック
- 支持された
- BE
- き
- より良いです
- 二人
- バイデン政権
- 両言語で
- ビルド
- 構築します
- 内蔵
- by
- 缶
- カナダ
- チェーン
- チェーン
- 変更
- コード
- コーディング
- コマンドと
- コミュニティ主導
- 企業
- コンプライアンス
- コンポーネント
- コンポーネント
- 信頼
- コンテナ
- 対応する
- 国
- サイバーセキュリティ
- サイクル
- 決定
- デフォルト
- 配達
- 実証します
- 設計
- 開発する
- Developer
- 開発者
- 開発
- 開示
- 間に
- 各
- 前
- 教育します
- 魅力的
- 確保
- 企業
- 確立
- 評価します
- 欠陥
- 焦点を当てて
- 形式でアーカイブしたプロジェクトを保存します.
- 今度の
- 発見
- Foundation
- フレームワーク
- フレームワーク
- から
- 未来
- 生成された
- ドイツ
- でログイン
- 政府・公共機関
- 大きい
- ガイダンス
- ガイドライン
- 持ってる
- 助けます
- ハイ
- より高い
- 主催
- 認定条件
- How To
- HTML
- HTTPS
- IBM
- 画像
- in
- include
- の増加
- を示し
- インテル
- に
- IT
- ITS
- JPG
- キー
- 王国
- L1
- l2
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 姓
- 昨年
- レベル
- レベル
- 生活
- linuxの
- linux foundation
- 主要な
- make
- 作成
- 手段
- だけど
- 計測
- Microsoft
- 軽減する
- 他には?
- の試合に
- 国民
- 必要
- 必要
- オランダ
- 新作
- ニュージーランド
- 今
- of
- on
- ONE
- 開いた
- オープンソース
- or
- 組織
- その他
- パッケージ
- 部
- 特定の
- パスワード
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラクティス
- 原則
- プロセス
- 製品
- プログラミング
- プログラミング言語
- プログラム
- プロジェクト
- 保護
- 来歴
- プロバイダ
- は、大阪で
- 最近
- 認識する
- 反映する
- 定期的に
- リリース
- 信頼性のある
- 除去
- 各種レポート作成
- の提出が必要です
- 要件
- 研究
- 責任
- 再利用
- リスク
- リスク
- 大体
- s
- より安全な
- 前記
- 言う
- 安全に
- セキュア
- 確保する
- セキュリティ
- セキュリティー認識
- サービス
- セブン
- 発送
- すべき
- 署名されました
- ソフトウェア
- ソフトウェア開発者
- ソフトウェア開発
- ソース
- ソースコード
- ソース
- 特定の
- 仕様
- 規格
- 米国
- ステップ
- 戦略
- そのような
- 供給
- サプライチェーン
- サプライチェーン
- 周囲の
- システム
- 取る
- Talk
- タスク
- チーム
- テクノロジー
- テクノロジー企業
- それ
- オランダ
- イギリス
- アプリ環境に合わせて
- それら
- 彼ら
- 脅威
- 〜へ
- 豊富なツール群
- 追跡する
- トレーニング
- 信頼
- 最終的に
- わかる
- ユナイテッド
- イギリス
- 米国
- つかいます
- 中古
- users
- v1
- 確認する
- 検証する
- ヴイエムウェア
- 脆弱性
- ました
- 仕方..
- かどうか
- which
- 意志
- 以内
- 書き込み
- 年
- ニュージーランド
- ゼファーネット