OpenSSF dodaja sledi dobavne verige programske opreme v okvir SLSA

Open Source Security Foundation (OpenSSF) je izdal različico 1.0 Supply-chain Levels for Software Artifacts (SLSA) s posebnimi določbami za dobavno verigo programske opreme.

Sodobne ekipe za razvoj aplikacij redno ponovno uporabljajo kodo iz drugih aplikacij in črpajo komponente kode in orodja za razvijalce iz neštetih virov. Lanskoletna raziskava Snyka in Linux Foundation je pokazala, da 41 % organizacij ni imel velikega zaupanja v varnost odprtokodne programske opreme. Z napadi na dobavno verigo, ki predstavljajo vedno prisotno in nenehno razvijajočo se grožnjo, tako ekipe za razvoj programske opreme kot varnostne ekipe zdaj priznavajo, da je treba odprtokodne komponente in okvire zavarovati.

SLSA je projekt varnostnih standardov dobavne verige, ki ga vodi skupnost in podpirajo velika tehnološka podjetja, kot so Google, Intel, Microsoft, VMware in IBM. SLSA se osredotoča na povečanje varnosti v procesu razvoja programske opreme. Razvijalci lahko sledijo smernicam SLSA, da naredijo svojo dobavno verigo programske opreme bolj varno, podjetja pa lahko uporabljajo SLSA za sprejemanje odločitev o tem, ali naj zaupajo programskemu paketu, glede na Open Source Security Foundation.

SLSA ponuja skupno besedišče za govor o varnosti dobavne verige programske opreme; način za razvijalce, da ocenijo odvisnosti navzgor z ocenjevanjem zanesljivosti izvorne kode, gradenj in slik vsebnika, uporabljenih v aplikaciji; uporaben varnostni kontrolni seznam; in način za merjenje skladnosti s prihajajočim ogrodjem za varen razvoj programske opreme (SSDF).

Izdaja SLSA v1.0 deli zahteve ravni SLSA na več poti, od katerih vsaka meri določen vidik varnosti dobavne verige programske opreme. Nove skladbe bodo uporabnikom pomagale bolje razumeti in ublažiti tveganja, povezana z dobavnimi verigami programske opreme, ter na koncu razviti, prikazati in uporabljati bolj varno in zanesljivo programsko opremo, pravi OpenSSF. SLSA v1.0 ponuja tudi bolj eksplicitna navodila o tem, kako preveriti poreklo, skupaj z ustreznimi spremembami v specifikaciji in formatu izvora.

O Build Track Ravni 1–3, ki približno ustrezajo stopnjam 1–3 v prejšnjih različicah SLSA, opisujejo ravni zaščite pred posegi med gradnjo programske opreme ali po njej. Zahteve za Build Track odražajo zahtevane naloge: izdelava artefaktov, preverjanje gradbenih sistemov in preverjanje artefaktov. Prihodnje različice ogrodja bodo temeljile na zahtevah za obravnavanje drugih vidikov življenjskega cikla dobave programske opreme.

Zgradba L1 označuje izvor in prikazuje, kako je bil paket zgrajen; Build L2 označuje podpisano poreklo, ki ga je ustvarila gostujoča storitev gradnje; in Build L3 označuje, da je bila storitev gradnje utrjena.

Višja kot je raven, večje je zaupanje, da je paket mogoče izslediti nazaj do njegovega izvora in da ni bil spremenjen, je povedal OpenSSF.

Varnost dobavne verige programske opreme je ključna komponenta Bidenove administracije Nacionalna strategija kibernetske varnosti ZDA, ker sili ponudnike programske opreme, da prevzamejo večjo odgovornost za varnost svojih izdelkov. Pred kratkim je 10 vladnih agencij iz sedmih držav (Avstralije, Kanade, Nemčije, Nizozemske, Nove Zelandije, Združenega kraljestva in Združenih držav) izdalo nove smernice, “Spreminjanje ravnovesja tveganja kibernetske varnosti: Načela in pristopi za varnost po zasnovi in ​​privzeto,« da pozove razvijalce programske opreme, naj sprejmejo potrebne ukrepe za zagotovitev, da pošiljajo izdelke, ki so varni po zasnovi in ​​privzeto. To pomeni odstranitev privzetih gesel, pisanje v varnejših programskih jezikih in vzpostavitev programov za razkrivanje ranljivosti za poročanje o napakah.

Kot del varovanja dobavne verige programske opreme bi morale varnostne ekipe sodelovati z razvijalci, da bi jih poučili o praksah varnega kodiranja in prilagodili usposabljanje za ozaveščanje o varnosti, da bi vključili tveganja v zvezi z življenjskim ciklom razvoja programske opreme.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
• vir: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework