Fundacja Open Source Security Foundation (OpenSSF) wydała wersję 1.0 dokumentu Poziomy łańcucha dostaw dla artefaktów oprogramowania (SLSA) ze szczególnymi postanowieniami dotyczącymi łańcucha dostaw oprogramowania.
Nowoczesne zespoły programistyczne regularnie wykorzystują kod z innych aplikacji i pobierają komponenty kodu oraz narzędzia programistyczne z niezliczonych źródeł. Badania przeprowadzone przez Snyk i Linux Foundation w zeszłym roku wykazały, że 41% organizacji nie miał wysokiego zaufania do bezpieczeństwa oprogramowania open source. Ponieważ ataki na łańcuchy dostaw stanowią stale obecne i stale ewoluujące zagrożenie, zarówno zespoły programistów, jak i zespoły ds. bezpieczeństwa uznają teraz, że komponenty i struktury open source muszą być zabezpieczone.
SLSA to kierowany przez społeczność projekt standardów bezpieczeństwa łańcucha dostaw, wspierany przez główne firmy technologiczne, takie jak Google, Intel, Microsoft, VMware i IBM. SLSA koncentruje się na zwiększaniu rygoru bezpieczeństwa w procesie tworzenia oprogramowania. Według Open Source Security Foundation programiści mogą postępować zgodnie z wytycznymi SLSA, aby zwiększyć bezpieczeństwo swojego łańcucha dostaw oprogramowania, a przedsiębiorstwa mogą korzystać z SLSA do podejmowania decyzji o zaufaniu do pakietu oprogramowania.
SLSA zapewnia wspólne słownictwo do omawiania bezpieczeństwa łańcucha dostaw oprogramowania; sposób, w jaki programiści mogą oceniać zależności w górę poprzez ocenę wiarygodności kodu źródłowego, kompilacji i obrazów kontenerów używanych w aplikacji; wykonalna lista kontrolna bezpieczeństwa; oraz sposób mierzenia zgodności z nadchodzącą dyrektywą Secure Software Development Framework (SSDF).
Wersja SLSA v1.0 dzieli wymagania poziomu SLSA na wiele ścieżek, z których każda mierzy określony aspekt bezpieczeństwa łańcucha dostaw oprogramowania. Nowe ścieżki pomogą użytkownikom lepiej zrozumieć i ograniczyć ryzyko związane z łańcuchami dostaw oprogramowania, a ostatecznie opracować, zademonstrować i używać bezpieczniejszego i bardziej niezawodnego oprogramowania, mówi OpenSSF. SLSA v1.0 zapewnia również bardziej wyraźne wskazówki dotyczące sposobu weryfikacji pochodzenia, wraz z wprowadzaniem odpowiednich zmian w specyfikacji i formacie pochodzenia.
Połączenia Zbuduj tor Poziomy 1-3, które z grubsza odpowiadają poziomom 1-3 we wcześniejszych wersjach SLSA, opisują poziomy ochrony przed manipulacją podczas tworzenia oprogramowania lub po nim. Wymagania ścieżki budowania odzwierciedlają wymagane zadania: wytwarzanie artefaktów, weryfikowanie systemów kompilacji i weryfikowanie artefaktów. Przyszłe wersje platformy będą opierać się na wymaganiach dotyczących innych aspektów cyklu życia oprogramowania.
Kompilacja L1 wskazuje pochodzenie, pokazując, w jaki sposób pakiet został zbudowany; Kompilacja L2 wskazuje podpisane pochodzenie, wygenerowane przez hostowaną usługę kompilacji; a Kompilacja L3 wskazuje, że usługa kompilacji została wzmocniona.
Im wyższy poziom, tym większa pewność, że pakiet można prześledzić aż do jego źródła i że nie został zmanipulowany, powiedział OpenSSF.
Bezpieczeństwo łańcucha dostaw oprogramowania jest kluczowym elementem administracji Bidena amerykańska Narodowa Strategia Cyberbezpieczeństwa, ponieważ zmusza dostawców oprogramowania do przyjęcia większej odpowiedzialności za bezpieczeństwo swoich produktów. Ostatnio 10 agencji rządowych z siedmiu krajów (Australii, Kanady, Niemiec, Holandii, Nowej Zelandii, Wielkiej Brytanii i Stanów Zjednoczonych) opublikowało nowe wytyczne: „Zmiana równowagi ryzyka cybernetycznego: zasady i podejścia do bezpieczeństwa na etapie projektowania i domyślnego”, aby zachęcić twórców oprogramowania do podjęcia niezbędnych kroków w celu zapewnienia, że dostarczają produkty, które są zarówno bezpieczne z założenia, jak i domyślnie. Oznacza to usunięcie domyślnych haseł, pisanie w bezpieczniejszych językach programowania i ustanowienie programów ujawniających luki w zabezpieczeniach w celu zgłaszania błędów.
W ramach zabezpieczania łańcucha dostaw oprogramowania zespoły ds. bezpieczeństwa powinny współpracować z programistami, aby edukować ich w zakresie bezpiecznych praktyk kodowania i dostosowywać szkolenia w zakresie świadomości bezpieczeństwa w celu uwzględnienia zagrożeń związanych z cyklem życia oprogramowania.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Źródło: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :ma
- :Jest
- :nie
- 10
- 7
- a
- O nas
- Stosownie
- adres
- Dodaje
- administracja
- Po
- przed
- agencje
- wzdłuż
- również
- an
- i
- Zastosowanie
- Application Development
- aplikacje
- awanse
- SĄ
- AS
- aspekt
- aspekty
- powiązany
- Ataki
- Australia
- świadomość
- z powrotem
- poparła
- Bilans
- BE
- być
- Ulepsz Swój
- Biden
- Administracja Biden
- obie
- budować
- Buduje
- wybudowany
- by
- CAN
- Kanada
- łańcuch
- więzy
- Zmiany
- kod
- Kodowanie
- wspólny
- Kierowane przez społeczność
- Firmy
- spełnienie
- składnik
- składniki
- pewność siebie
- Pojemnik
- Odpowiedni
- kraje
- Bezpieczeństwo cybernetyczne
- cykl
- Decyzje
- Domyślnie
- dostawa
- wykazać
- Wnętrze
- rozwijać
- Deweloper
- deweloperzy
- oprogramowania
- ujawnienie
- podczas
- każdy
- Wcześniej
- kształcić
- ujmujący
- zapewnić
- przedsiębiorstwa
- ustanowienie
- oceny
- Skazy
- koncentruje
- obserwuj
- W razie zamówieenia projektu
- format
- nadchodzący
- znaleziono
- Fundacja
- Framework
- Ramy
- od
- przyszłość
- wygenerowane
- Niemcy
- Rząd
- większy
- poradnictwo
- wytyczne
- Have
- pomoc
- Wysoki
- wyższy
- hostowane
- W jaki sposób
- How To
- HTML
- HTTPS
- IBM
- zdjęcia
- in
- zawierać
- wzrastający
- wskazuje
- Intel
- najnowszych
- IT
- JEGO
- jpg
- Klawisz
- Królestwo
- L1
- l2
- Języki
- Nazwisko
- Ostatni rok
- poziom
- poziomy
- życie
- linux
- podstawa linuksa
- poważny
- robić
- Dokonywanie
- znaczy
- zmierzyć
- zmierzenie
- Microsoft
- Złagodzić
- jeszcze
- wielokrotność
- narodowy
- niezbędny
- Potrzebować
- Holandia
- Nowości
- Nowa Zelandia
- już dziś
- of
- on
- ONE
- koncepcja
- open source
- or
- organizacji
- Inne
- pakiet
- część
- szczególny
- hasła
- plato
- Analiza danych Platona
- PlatoDane
- praktyki
- Zasady
- wygląda tak
- Produkty
- Programowanie
- języki programowania
- Programy
- projekt
- ochrona
- pochodzenie
- dostawców
- zapewnia
- niedawno
- rozpoznać
- odzwierciedlić
- regularnie
- wydany
- rzetelny
- usuwanie
- Raportowanie
- wymagany
- wymagania
- Badania naukowe
- odpowiedzialność
- ponownie
- Ryzyko
- ryzyko
- w przybliżeniu
- s
- bezpieczniej
- Powiedział
- mówią
- bezpieczne
- zabezpieczone
- zabezpieczenia
- bezpieczeństwo
- Świadomość bezpieczeństwa
- usługa
- siedem
- Wysyłka
- powinien
- podpisana
- Tworzenie
- Software Developers
- rozwoju oprogramowania
- Źródło
- Kod źródłowy
- Źródła
- specyficzny
- specyfikacja
- standardy
- Zjednoczone
- Cel
- Strategia
- taki
- Dostawa
- łańcuch dostaw
- Dostarczać łańcuchy
- otaczający
- systemy
- Brać
- Mówić
- zadania
- Zespoły
- Technologia
- firmy technologiczne
- że
- Połączenia
- Holandia
- Wielka Brytania
- ich
- Im
- one
- groźba
- do
- narzędzia
- śledzić
- Trening
- Zaufaj
- Ostatecznie
- zrozumieć
- Zjednoczony
- Wielka Brytania
- United States
- posługiwać się
- używany
- Użytkownicy
- v1
- zweryfikować
- weryfikacja
- vmware
- wrażliwość
- była
- Droga..
- czy
- który
- będzie
- w
- w ciągu
- pisanie
- rok
- Zelandia
- zefirnet
