오픈 소스 보안 재단(OpenSSF)은 소프트웨어 공급망에 대한 특정 조항이 포함된 SLSA(Supply-Chain Levels for Software Artifacts) v1.0을 출시했습니다.
최신 애플리케이션 개발 팀은 정기적으로 다른 애플리케이션의 코드를 재사용하고 수많은 소스에서 코드 구성 요소와 개발자 도구를 가져옵니다. 지난해 Snyk와 Linux Foundation의 연구에 따르면 조직의 41%가 오픈 소스 소프트웨어 보안에 대한 높은 신뢰가 없었습니다.. 끊임없이 진화하는 위협을 야기하는 공급망 공격으로 인해 소프트웨어 개발 팀과 보안 팀 모두 이제 오픈 소스 구성 요소와 프레임워크를 보호해야 한다는 점을 인식하고 있습니다.
SLSA는 Google, Intel, Microsoft, VMware 및 IBM과 같은 주요 기술 회사가 지원하는 커뮤니티 중심의 공급망 보안 표준 프로젝트입니다. SLSA는 소프트웨어 개발 프로세스 내에서 보안 엄격성을 높이는 데 중점을 둡니다. Open Source Security Foundation에 따르면 개발자는 SLSA의 지침에 따라 소프트웨어 공급망을 더욱 안전하게 만들 수 있으며 기업은 SLSA를 사용하여 소프트웨어 패키지를 신뢰할지 여부를 결정할 수 있습니다.
SLSA는 소프트웨어 공급망 보안에 관해 이야기할 수 있는 공통 어휘를 제공합니다. 개발자가 애플리케이션에 사용되는 소스 코드, 빌드 및 컨테이너 이미지의 신뢰성을 평가하여 업스트림 종속성을 평가하는 방법 실행 가능한 보안 체크리스트 그리고 곧 출시될 SSDF(Secure Software Development Framework)에 대한 준수 여부를 측정하는 방법도 있습니다.
SLSA v1.0 릴리스 SLSA의 레벨 요구 사항을 여러 트랙으로 나누며 각 트랙은 소프트웨어 공급망 보안의 특정 측면을 측정합니다. 새로운 트랙은 사용자가 소프트웨어 공급망과 관련된 위험을 더 잘 이해하고 완화하며 궁극적으로 보다 안전하고 안정적인 소프트웨어를 개발, 시연 및 사용하는 데 도움이 될 것이라고 OpenSSF는 말합니다. SLSA v1.0은 또한 사양 및 출처 형식에 대한 해당 변경 사항과 함께 출처를 확인하는 방법에 대한 보다 명확한 지침을 제공합니다.
XNUMXD덴탈의 트랙 구축 이전 SLSA 버전의 레벨 1-3과 대략적으로 일치하는 레벨 1-3은 소프트웨어 빌드 중 또는 이후의 변조에 대한 보호 수준을 설명합니다. 빌드 트랙 요구 사항은 아티팩트 생성, 빌드 시스템 확인, 아티팩트 확인 등 필요한 작업을 반영합니다. 프레임워크의 향후 버전은 소프트웨어 제공 수명 주기의 다른 측면을 해결하기 위한 요구 사항을 기반으로 구축될 것입니다.
빌드 L1은 출처를 나타내며 패키지가 어떻게 빌드되었는지 보여줍니다. 빌드 L2는 호스팅된 빌드 서비스에서 생성된 서명된 출처를 나타냅니다. Build L3은 빌드 서비스가 강화되었음을 나타냅니다.
OpenSSF는 수준이 높을수록 패키지의 소스를 추적할 수 있고 변조되지 않았다는 신뢰도가 높아진다고 말했습니다.
소프트웨어 공급망 보안은 Biden 행정부의 핵심 구성 요소입니다. 미국 국가 사이버 보안 전략, 이는 소프트웨어 제공업체가 자사 제품의 보안에 대해 더 큰 책임을 지게 하기 때문입니다. 그리고 최근 10개국(호주, 캐나다, 독일, 네덜란드, 뉴질랜드, 영국, 미국) XNUMX개 정부기관이 새로운 지침을 발표했다.사이버 보안 위험 균형 전환: 설계별 보안 및 기본 보안에 대한 원칙 및 접근 방식,” 소프트웨어 개발자가 설계 및 기본적으로 안전한 제품을 출시하기 위해 필요한 조치를 취할 것을 촉구합니다. 이는 기본 비밀번호를 제거하고, 보다 안전한 프로그래밍 언어로 작성하고, 결함 보고를 위한 취약성 공개 프로그램을 구축하는 것을 의미합니다.
소프트웨어 공급망 보안의 일환으로 보안 팀은 개발자와 협력하여 보안 코딩 관행에 대해 교육하고 소프트웨어 개발 수명 주기와 관련된 위험을 포함하도록 보안 인식 교육을 맞춤화해야 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :있다
- :이다
- :아니
- 10
- 7
- a
- 소개
- 에 따르면
- 주소
- 추가
- 관리
- 후
- 반대
- 기관
- 따라
- 또한
- an
- 및
- 어플리케이션
- 애플리케이션 개발
- 어플리케이션
- 구혼
- 있군요
- AS
- 양상
- 측면
- 관련
- 공격
- 호주
- 인식
- 뒤로
- 뒷받침 된
- 잔액
- BE
- 된
- 더 나은
- biden
- 바이든 관리
- 두
- 빌드
- 빌드
- 내장
- by
- CAN
- Canada
- 체인
- 쇠사슬
- 변경
- 암호
- 코딩
- 공통의
- 커뮤니티 주도
- 기업
- compliance
- 구성 요소
- 구성 요소들
- 자신
- 컨테이너
- 동
- 국가
- 사이버 보안
- 주기
- 결정
- 태만
- 배달
- 보여
- 디자인
- 개발
- 개발자
- 개발자
- 개발
- 폭로
- ...동안
- 마다
- 이전
- 교육하다
- 매력적인
- 확인
- 기업
- 설립
- 평가
- 결함
- 집중
- 따라
- 럭셔리
- 체재
- 출현
- 발견
- Foundation
- 뼈대
- 프레임 워크
- 에
- 미래
- 생성
- 독일
- 구글
- Government
- 큰
- 지도
- 가이드 라인
- 있다
- 도움
- 높은
- 더 높은
- 호스팅
- 방법
- How To
- HTML
- HTTPS
- IBM
- 형상
- in
- 포함
- 증가
- 표시
- 인텔
- 으로
- IT
- 그
- JPG
- 키
- 왕국
- L1
- l2
- 언어
- 성
- 작년
- 레벨
- 레벨
- 생활
- 리눅스
- 리눅스 기초
- 주요한
- 확인
- 유튜브 영상을 만드는 것은
- 방법
- 측정
- 측정
- Microsoft
- 완화
- 배우기
- 여러
- 국가의
- 필요한
- 필요
- 네덜란드
- 신제품
- 뉴질랜드
- 지금
- of
- on
- ONE
- 열 수
- 오픈 소스
- or
- 조직
- 기타
- 꾸러미
- 부품
- 특별한
- 암호
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 사례
- 원칙
- 방법
- 제품
- 프로그램 작성
- 프로그래밍 언어
- 프로그램
- 프로젝트
- 보호
- 기원
- 제공
- 제공
- 최근에
- 인식
- 반영
- 규칙적으로
- 출시
- 신뢰할 수있는
- 제거
- 통계 보고서
- 필수
- 요구조건 니즈
- 연구
- 책임
- 재사용
- 위험
- 위험
- 거칠게
- s
- 안전
- 말했다
- 라고
- 안전해야합니다.
- 보안
- 확보
- 보안
- 보안 인식
- 서비스
- 일곱
- 배송
- 영상을
- 서명
- 소프트웨어
- 소프트웨어 개발자
- 소프트웨어 개발
- 출처
- 소스 코드
- 지우면 좋을거같음 . SM
- 구체적인
- 명세서
- 기준
- 미국
- 단계
- 전략
- 이러한
- 공급
- 공급망
- 공급망
- 주변
- 시스템은
- 받아
- 이야기
- 작업
- 팀
- Technology
- 기술 회사
- 그
- XNUMXD덴탈의
- 네덜란드
- 영국
- 그들의
- 그들
- 그들
- 위협
- 에
- 검색을
- 선로
- 트레이닝
- 믿어
- 궁극적으로
- 이해
- 미국
- 영국
- United States
- 사용
- 익숙한
- 사용자
- v1
- 확인
- 확인하는
- VM웨어
- 취약점
- 였다
- 방법..
- 여부
- 어느
- 의지
- 과
- 이내
- 쓰기
- year
- 뉴질랜드
- 제퍼 넷
