Фонд безопасности открытого исходного кода (OpenSSF) выпустил версию 1.0 Уровней цепочки поставок для программных артефактов (SLSA) с конкретными положениями для цепочки поставок программного обеспечения.
Современные команды разработчиков приложений регулярно повторно используют код из других приложений и извлекают компоненты кода и инструменты разработчика из множества источников. Исследование Snyk и Linux Foundation в прошлом году показало, что 41% организаций не имел высокой уверенности в безопасности программного обеспечения с открытым исходным кодом. Поскольку атаки на цепочки поставок представляют собой постоянную и постоянно развивающуюся угрозу, как команды разработчиков программного обеспечения, так и группы безопасности теперь осознают, что компоненты и платформы с открытым исходным кодом необходимо защищать.
SLSA — это проект стандартов безопасности цепочки поставок, реализуемый сообществом и поддерживаемый крупными технологическими компаниями, такими как Google, Intel, Microsoft, VMware и IBM. SLSA фокусируется на повышении строгости безопасности в процессе разработки программного обеспечения. По данным Open Source Security Foundation, разработчики могут следовать рекомендациям SLSA, чтобы сделать свою цепочку поставок программного обеспечения более безопасной, а предприятия могут использовать SLSA для принятия решений о том, доверять ли пакету программного обеспечения.
SLSA предоставляет общий словарь для обсуждения безопасности цепочки поставок программного обеспечения; способ для разработчиков оценить исходные зависимости путем оценки надежности исходного кода, сборок и образов контейнеров, используемых в приложении; действенный контрольный список безопасности; и способ измерения соответствия будущей системе Secure Software Development Framework (SSDF).
Релиз SLSA v1.0 Требования уровня SLSA разделены на несколько направлений, каждое из которых измеряет определенный аспект безопасности цепочки поставок программного обеспечения. Новые треки помогут пользователям лучше понять и снизить риски, связанные с цепочками поставок программного обеспечения, и в конечном итоге разрабатывать, демонстрировать и использовать более безопасное и надежное программное обеспечение, заявляет OpenSSF. SLSA v1.0 также предоставляет более подробные инструкции по проверке происхождения, а также внесение соответствующих изменений в спецификацию и формат происхождения.
Ассоциация Строить трек Уровни 1–3, которые примерно соответствуют уровням 1–3 в более ранних версиях SLSA, описывают уровни защиты от несанкционированного доступа во время или после сборки программного обеспечения. Требования к Build Track отражают необходимые задачи: создание артефактов, проверка систем сборки и проверка артефактов. Будущие версии структуры будут основываться на требованиях для решения других аспектов жизненного цикла поставки программного обеспечения.
Сборка L1 указывает на происхождение, показывая, как был создан пакет; Сборка L2 указывает подписанное происхождение, созданное размещенной службой сборки; а сборка L3 указывает на то, что служба сборки усилена.
По словам OpenSSF, чем выше уровень, тем выше уверенность в том, что пакет можно отследить до его источника и что он не был подделан.
Безопасность цепочки поставок программного обеспечения является ключевым компонентом политики администрации Байдена. Национальная стратегия кибербезопасности США, поскольку это подталкивает поставщиков программного обеспечения брать на себя большую ответственность за безопасность своих продуктов. А недавно 10 правительственных учреждений из семи стран (Австралия, Канада, Германия, Нидерланды, Новая Зеландия, Великобритания и США) опубликовали новые рекомендации».Изменение баланса рисков кибербезопасности: принципы и подходы к проектной безопасности и безопасности по умолчанию», чтобы призвать разработчиков программного обеспечения предпринять необходимые шаги, чтобы гарантировать, что они поставляют продукты, безопасные как по своей конструкции, так и по умолчанию. Это означает удаление паролей по умолчанию, написание более безопасных языков программирования и создание программ раскрытия уязвимостей для сообщения о недостатках.
В рамках обеспечения безопасности цепочки поставок программного обеспечения группы безопасности должны взаимодействовать с разработчиками, обучая их методам безопасного кодирования и адаптируя обучение по вопросам безопасности с учетом рисков, связанных с жизненным циклом разработки программного обеспечения.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :имеет
- :является
- :нет
- 10
- 7
- a
- О нас
- По
- адрес
- Добавляет
- администрация
- После
- против
- агентствах
- вдоль
- причислены
- an
- и
- Применение
- Разработка приложения
- Приложения
- подходы
- МЫ
- AS
- внешний вид
- аспекты
- связанный
- нападки
- Австралия
- осведомленность
- назад
- со спинкой
- Баланс
- BE
- было
- Лучшая
- Биден
- Администрация Байдена
- изоферменты печени
- строить
- строит
- построенный
- by
- CAN
- Канада
- цепь
- цепи
- изменения
- код
- Кодирование
- Общий
- Сообщество
- Компании
- Соответствие закону
- компонент
- компоненты
- доверие
- Container
- соответствующий
- страны
- Информационная безопасность
- цикл
- решения
- По умолчанию
- поставка
- демонстрировать
- Проект
- развивать
- Застройщик
- застройщиков
- Развитие
- раскрытие
- в течение
- каждый
- Ранее
- воспитывать
- привлечение
- обеспечивать
- предприятий
- налаживание
- оценки
- недостатки
- фокусируется
- следовать
- Что касается
- формат
- предстоящий
- найденный
- Год основания
- Рамки
- каркасы
- от
- будущее
- генерируется
- Germany
- Правительство
- большой
- руководство
- методические рекомендации
- Есть
- помощь
- High
- высший
- состоялся
- Как
- How To
- HTML
- HTTPS
- IBM
- изображений
- in
- включают
- повышение
- указывает
- Intel
- в
- IT
- ЕГО
- JPG
- Основные
- Королевство
- L1
- l2
- Языки
- Фамилия
- В прошлом году
- уровень
- уровни
- ЖИЗНЬЮ
- Linux
- linux foundation
- основной
- сделать
- Создание
- означает
- проводить измерение
- измерение
- Microsoft
- смягчать
- БОЛЕЕ
- с разными
- национальный
- необходимо
- Необходимость
- Нидерланды
- Новые
- Новая Зеландия
- сейчас
- of
- on
- ONE
- открытый
- с открытым исходным кодом
- or
- организации
- Другое
- пакет
- часть
- особый
- пароли
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- практиками
- Принципы
- процесс
- Продукция
- Программирование
- языки программирования
- Программы
- Проект
- защиту
- происхождение
- поставщики
- приводит
- недавно
- признавать
- отражать
- регулярно
- выпустил
- складская
- удаление
- Reporting
- обязательный
- Требования
- исследованиям
- ответственность
- снова использовать
- Снижение
- рисках,
- грубо
- s
- безопаснее
- Сказал
- говорит
- безопасный
- обеспеченный
- обеспечение
- безопасность
- Безопасность
- обслуживание
- семь
- Доставка и оплата
- должен
- подписанный
- Software
- Разработчики программного обеспечения
- разработка программного обеспечения
- Источник
- исходный код
- Источники
- конкретный
- Спецификация
- стандартов
- Области
- Шаги
- Стратегия
- такие
- поставка
- цепочками поставок
- Каналы поставок
- окружающих
- системы
- взять
- Говорить
- задачи
- команды
- Технологии
- технологические компании
- который
- Ассоциация
- Нидерланды
- Объединенное королевство
- их
- Их
- они
- угроза
- в
- инструменты
- трек
- Обучение
- Доверие
- В конечном счете
- понимать
- Объединенный
- Великобритания
- США
- использование
- используемый
- пользователей
- v1
- проверить
- проверка
- VMware
- уязвимость
- законопроект
- Путь..
- будь то
- который
- будете
- в
- письмо
- год
- Зеландию
- зефирнет
