A Open Source Security Foundation (OpenSSF) lançou a versão 1.0 dos níveis da cadeia de suprimentos para artefatos de software (SLSA) com provisões específicas para a cadeia de suprimentos de software.
As equipes modernas de desenvolvimento de aplicativos reutilizam regularmente o código de outros aplicativos e extraem componentes de código e ferramentas de desenvolvedor de inúmeras fontes. A pesquisa da Snyk e da Linux Foundation no ano passado descobriu que 41% das organizações não tinha muita confiança na segurança de software de código aberto. Com os ataques à cadeia de suprimentos representando uma ameaça sempre presente e em constante evolução, as equipes de desenvolvimento de software e de segurança agora reconhecem que os componentes e estruturas de código aberto precisam ser protegidos.
O SLSA é um projeto de padrões de segurança da cadeia de suprimentos orientado pela comunidade, apoiado por grandes empresas de tecnologia, como Google, Intel, Microsoft, VMware e IBM. O SLSA se concentra em aumentar o rigor de segurança no processo de desenvolvimento de software. Os desenvolvedores podem seguir as diretrizes do SLSA para tornar sua cadeia de suprimentos de software mais segura, e as empresas podem usar o SLSA para tomar decisões sobre a confiança em um pacote de software, de acordo com a Open Source Security Foundation.
SLSA fornece um vocabulário comum para falar sobre a segurança da cadeia de suprimentos de software; uma maneira de os desenvolvedores avaliarem as dependências upstream avaliando a confiabilidade do código-fonte, compilações e imagens de contêiner usadas no aplicativo; uma lista de verificação de segurança acionável; e uma maneira de medir a conformidade com o próximo Secure Software Development Framework (SSDF).
A versão SLSA v1.0 divide os requisitos de nível do SLSA em várias faixas, cada uma medindo um aspecto específico da segurança da cadeia de suprimentos de software. As novas faixas ajudarão os usuários a entender e mitigar melhor os riscos associados às cadeias de suprimentos de software e, finalmente, desenvolver, demonstrar e usar software mais seguro e confiável, diz o OpenSSF. O SLSA v1.0 também fornece orientações mais explícitas sobre como verificar a proveniência, além de fazer alterações correspondentes na especificação e no formato de proveniência.
A Construir trilha Os níveis 1-3, que correspondem aproximadamente aos níveis 1-3 nas versões anteriores do SLSA, descrevem os níveis de proteção contra adulteração durante ou após a construção do software. Os requisitos do Build Track refletem as tarefas necessárias: produção de artefatos, verificação de sistemas de construção e verificação de artefatos. Versões futuras da estrutura se basearão em requisitos para abordar outros aspectos do ciclo de vida de entrega de software.
Build L1 indica a proveniência, mostrando como a embalagem foi construída; Build L2 indica proveniência assinada, gerada por um serviço de compilação hospedado; e Build L3 indica que o serviço de compilação foi reforçado.
Quanto maior o nível, maior a confiança de que um pacote pode ser rastreado até sua origem e não foi adulterado, disse o OpenSSF.
A segurança da cadeia de suprimentos de software é um componente-chave do governo Biden Estratégia Nacional de Segurança Cibernética dos EUA, uma vez que incentiva os fornecedores de software a assumirem maior responsabilidade pela segurança de seus produtos. E recentemente, 10 agências governamentais de sete países (Austrália, Canadá, Alemanha, Holanda, Nova Zelândia, Reino Unido e Estados Unidos) divulgaram novas diretrizes, “Mudando o equilíbrio do risco de segurança cibernética: princípios e abordagens para segurança por design e padrão”, para instar os desenvolvedores de software a tomar as medidas necessárias para garantir que estejam enviando produtos que sejam seguros por design e por padrão. Isso significa remover senhas padrão, escrever em linguagens de programação mais seguras e estabelecer programas de divulgação de vulnerabilidades para relatar falhas.
Como parte da proteção da cadeia de suprimentos de software, as equipes de segurança devem se envolver com os desenvolvedores para educá-los sobre práticas de codificação segura e adaptar o treinamento de conscientização de segurança para incluir os riscos que envolvem o ciclo de vida do desenvolvimento de software.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :tem
- :é
- :não
- 10
- 7
- a
- Sobre
- Segundo
- endereço
- Adiciona
- administração
- Depois de
- contra
- agências
- juntamente
- tb
- an
- e
- Aplicação
- Desenvolvimento de Aplicações
- aplicações
- se aproxima
- SOMOS
- AS
- aspecto
- aspectos
- associado
- Ataques
- Australia
- consciência
- em caminho duplo
- Apoiado
- Equilíbrio
- BE
- sido
- Melhor
- Biden
- Administração de Biden
- ambos
- construir
- Constrói
- construído
- by
- CAN
- Localização: Canadá
- cadeia
- correntes
- Alterações
- código
- Codificação
- comum
- Orientado para a comunidade
- Empresas
- compliance
- componente
- componentes
- confiança
- Recipiente
- Correspondente
- países
- Cíber segurança
- ciclo
- decisões
- Padrão
- Entrega
- demonstrar
- Design
- desenvolver
- Developer
- desenvolvedores
- Desenvolvimento
- divulgação
- durante
- cada
- Mais cedo
- educar
- noivando
- garantir
- empresas
- estabelecendo
- avaliação
- falhas
- concentra-se
- seguir
- Escolha
- formato
- próximo
- encontrado
- Foundation
- Quadro
- enquadramentos
- da
- futuro
- gerado
- Alemanha
- Governo
- maior
- orientações
- orientações
- Ter
- ajudar
- Alta
- superior
- hospedado
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTML
- HTTPS
- IBM
- imagens
- in
- incluir
- aumentando
- indicam
- Intel
- para dentro
- IT
- ESTÁ
- jpg
- Chave
- Reino
- L1
- l2
- Idiomas
- Sobrenome
- Ano passado
- Nível
- níveis
- vida
- linux
- fundação linux
- principal
- fazer
- Fazendo
- significa
- a medida
- medição
- Microsoft
- Mitigar
- mais
- múltiplo
- Nacional
- necessário
- você merece...
- Nederland
- Novo
- Nova Zelândia
- agora
- of
- on
- ONE
- aberto
- open source
- or
- organizações
- Outros
- pacote
- parte
- particular
- senhas
- platão
- Inteligência de Dados Platão
- PlatãoData
- práticas
- princípios
- processo
- Produtos
- Programação
- linguagens de programação
- Programas
- projeto
- proteção
- proveniência
- fornecedores
- fornece
- recentemente
- reconhecer
- refletir
- regularmente
- liberado
- confiável
- removendo
- Relatórios
- requeridos
- Requisitos
- pesquisa
- responsabilidade
- reutilizar
- Risco
- riscos
- grosseiramente
- s
- mais segura
- Dito
- diz
- seguro
- Secured
- assegurando
- segurança
- Consciência de segurança
- serviço
- Sete
- Envios
- rede de apoio social
- assinado
- Software
- Desenvolvedores de software
- desenvolvimento de software
- fonte
- código fonte
- Fontes
- específico
- especificação
- padrões
- Unidos
- Passos
- Estratégia
- tal
- supply
- cadeia de suprimentos
- Redes de fornecimento
- Em torno da
- sistemas
- Tire
- Converse
- tarefas
- equipes
- Tecnologia
- empresas de tecnologia
- que
- A
- Países Baixos
- o Reino Unido
- deles
- Eles
- deles
- ameaça
- para
- ferramentas
- pista
- Training
- Confiança
- Em última análise
- compreender
- Unido
- Reino Unido
- Estados Unidos
- usar
- usava
- usuários
- v1
- verificar
- verificação
- vmware
- vulnerabilidade
- foi
- Caminho..
- se
- qual
- precisarão
- de
- dentro
- escrita
- ano
- Zelândia
- zefirnet
