Open Source Security Foundation (OpenSSF) a lansat versiunea 1.0 a Supply-chain Levels for Software Artefacts (SLSA) cu prevederi specifice pentru lanțul de aprovizionare software.
Echipele moderne de dezvoltare a aplicațiilor reutiliza în mod regulat codul din alte aplicații și extrag componente de cod și instrumente de dezvoltare din nenumărate surse. Cercetările de la Snyk și Linux Foundation anul trecut au descoperit că 41% dintre organizații nu avea mare încredere în securitatea software-ului open source. Având în vedere că atacurile lanțului de aprovizionare reprezintă o amenințare permanentă și în continuă evoluție, atât echipele de dezvoltare software, cât și echipele de securitate recunosc acum că componentele și cadrele open source trebuie securizate.
SLSA este un proiect de standarde de securitate a lanțului de aprovizionare condus de comunitate, susținut de mari companii de tehnologie, precum Google, Intel, Microsoft, VMware și IBM. SLSA se concentrează pe creșterea rigurozității securității în cadrul procesului de dezvoltare software. Dezvoltatorii pot urma liniile directoare ale SLSA pentru a-și face lanțul de aprovizionare software mai sigur, iar întreprinderile pot folosi SLSA pentru a lua decizii cu privire la încrederea într-un pachet software, conform Open Source Security Foundation.
SLSA oferă un vocabular comun pentru a vorbi despre securitatea lanțului de aprovizionare cu software; o modalitate pentru dezvoltatori de a evalua dependențele din amonte prin evaluarea credibilității codului sursă, a versiunilor și a imaginilor container utilizate în aplicație; o listă de verificare de securitate acționabilă; și o modalitate de a măsura conformitatea cu viitorul Secure Software Development Framework (SSDF).
Versiunea SLSA v1.0 împarte cerințele de nivel ale SLSA în mai multe piste, fiecare măsurând un anumit aspect al securității lanțului de aprovizionare cu software. Noile piese vor ajuta utilizatorii să înțeleagă și să atenueze mai bine riscurile asociate lanțurilor de aprovizionare cu software și, în cele din urmă, să dezvolte, să demonstreze și să utilizeze software mai sigur și mai fiabil, spune OpenSSF. SLSA v1.0 oferă, de asemenea, îndrumări mai explicite cu privire la modul de verificare a provenienței, împreună cu efectuarea modificărilor corespunzătoare ale specificației și formatului de proveniență.
Build Track Nivelurile 1-3, care corespund aproximativ nivelurilor 1-3 din versiunile anterioare SLSA, descriu nivelurile de protecție împotriva falsificării în timpul sau după construirea software-ului. Cerințele Build Track reflectă sarcinile necesare: producerea artefactelor, verificarea sistemelor de construcție și verificarea artefactelor. Versiunile viitoare ale cadrului se vor baza pe cerințe pentru a aborda alte aspecte ale ciclului de viață de livrare a software-ului.
Build L1 indică proveniența, arătând cum a fost construit pachetul; Build L2 indică proveniența semnată, generată de un serviciu de construcție găzduit; și Build L3 indică faptul că serviciul de build a fost consolidat.
Cu cât nivelul este mai mare, cu atât este mai mare încrederea că un pachet poate fi urmărit până la sursă și nu a fost manipulat, a spus OpenSSF.
Securitatea lanțului de aprovizionare cu software este o componentă cheie a administrației Biden Strategia națională de securitate cibernetică a SUA, deoarece împinge furnizorii de software să-și asume o responsabilitate mai mare pentru securitatea produselor lor. Și recent, 10 agenții guvernamentale din șapte țări (Australia, Canada, Germania, Țările de Jos, Noua Zeelandă, Regatul Unit și Statele Unite) au lansat noi linii directoare, „Schimbarea echilibrului riscului de securitate cibernetică: principii și abordări pentru securitatea prin proiectare și implicit”, pentru a îndemna dezvoltatorii de software să ia măsurile necesare pentru a se asigura că livrează produse care sunt atât sigure prin proiectare, cât și implicit. Aceasta înseamnă eliminarea parolelor implicite, scrierea în limbaje de programare mai sigure și stabilirea de programe de dezvăluire a vulnerabilităților pentru raportarea defectelor.
Ca parte a securizării lanțului de aprovizionare cu software, echipele de securitate ar trebui să se implice cu dezvoltatorii pentru a-i educa cu privire la practicile de codare sigură și pentru a personaliza formarea de conștientizare a securității pentru a include riscurile legate de ciclul de viață al dezvoltării software.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :are
- :este
- :nu
- 10
- 7
- a
- Despre Noi
- Conform
- adresa
- Adaugă
- administrare
- După
- împotriva
- Agențiile
- de-a lungul
- de asemenea
- an
- și
- aplicație
- Dezvoltare de Aplicații
- aplicatii
- abordari
- SUNT
- AS
- aspect
- aspecte
- asociate
- Atacuri
- Australia
- gradului de conştientizare
- înapoi
- sprijinit
- Sold
- BE
- fost
- Mai bine
- biden
- Administrația Biden
- atât
- construi
- construiește
- construit
- by
- CAN
- Canada
- lanţ
- lanţuri
- Modificări
- cod
- Codificare
- Comun
- Condus de comunitate
- Companii
- conformitate
- component
- componente
- încredere
- Recipient
- Corespunzător
- țări
- Securitate cibernetică
- ciclu
- Deciziile
- Mod implicit
- livrare
- demonstra
- Amenajări
- dezvolta
- Dezvoltator
- Dezvoltatorii
- Dezvoltare
- dezvăluire
- în timpul
- fiecare
- Mai devreme
- educa
- captivant
- asigura
- Companii
- stabilirea
- evaluarea
- defecte
- se concentrează
- urma
- Pentru
- format
- viitor
- găsit
- Fundație
- Cadru
- cadre
- din
- viitor
- generată
- Germania
- Guvern
- mai mare
- îndrumare
- orientări
- Avea
- ajutor
- Înalt
- superior
- găzduit
- Cum
- Cum Pentru a
- HTML
- HTTPS
- IBM
- imagini
- in
- include
- crescând
- indică
- Intel
- în
- IT
- ESTE
- jpg
- Cheie
- regat
- L1
- l2
- Limbă
- Nume
- Anul trecut
- Nivel
- nivelurile de
- Viaţă
- linux
- fundația linux
- major
- face
- Efectuarea
- mijloace
- măsura
- măsurare
- Microsoft
- diminua
- mai mult
- multiplu
- național
- necesar
- Nevoie
- Olanda
- Nou
- Noua Zeelandă
- acum
- of
- on
- ONE
- deschide
- open-source
- or
- organizații
- Altele
- pachet
- parte
- special
- Parolele
- Plato
- Informații despre date Platon
- PlatoData
- practicile
- Principiile
- proces
- Produse
- Programare
- limbaje de programare
- Programe
- proiect
- protecţie
- proveniență
- furnizori
- furnizează
- recent
- recunoaște
- reflecta
- regulat
- eliberat
- de încredere
- eliminarea
- Raportarea
- necesar
- Cerinţe
- cercetare
- responsabilitate
- reutilizarea
- Risc
- Riscurile
- aproximativ
- s
- mai sigur
- Said
- spune
- sigur
- securizat
- asigurarea
- securitate
- Conștientizarea securității
- serviciu
- Șapte
- Livrarea
- să
- semnat
- Software
- Dezvoltatori de software
- de dezvoltare de software
- Sursă
- cod sursă
- Surse
- specific
- specificație
- standarde
- Statele
- paşi
- Strategie
- astfel de
- livra
- lanțului de aprovizionare
- Lanțurile de aprovizionare
- Înconjurător
- sisteme
- Lua
- Vorbi
- sarcini
- echipe
- Tehnologia
- companii de tehnologie
- acea
- Olanda
- Regatul unit
- lor
- Lor
- ei
- amenințare
- la
- Unelte
- urmări
- Pregătire
- Încredere
- în cele din urmă
- înţelege
- Unit
- Regatul Unit
- Statele Unite
- utilizare
- utilizat
- utilizatorii
- v1
- verifica
- verificarea
- VMware
- vulnerabilitate
- a fost
- Cale..
- dacă
- care
- voi
- cu
- în
- scris
- an
- Noua Zeelandă
- zephyrnet
