OpenSSF lägger till Software Supply Chain Tracks till SLSA Framework

Open Source Security Foundation (OpenSSF) har släppt v1.0 av Supply-chain Levels for Software Artifacts (SLSA) med specifika bestämmelser för programvarans leveranskedja.

Moderna applikationsutvecklingsteam återanvänder regelbundet kod från andra applikationer och hämtar kodkomponenter och utvecklarverktyg från otaliga källor. Forskning från Snyk och Linux Foundation förra året visade att 41% av organisationerna hade inte så stort förtroende för säkerhet i öppen källkod. Med supply chain-attacker som utgör ett ständigt närvarande och ständigt föränderligt hot, inser både mjukvaruutvecklingsteam och säkerhetsteam nu att komponenter och ramverk med öppen källkod måste säkras.

SLSA är ett gemenskapsdrivet säkerhetsstandardprojekt för leveranskedjan som stöds av stora teknikföretag, som Google, Intel, Microsoft, VMware och IBM. SLSA fokuserar på att öka säkerheten inom mjukvaruutvecklingsprocessen. Utvecklare kan följa SLSA:s riktlinjer för att göra sin mjukvaruförsörjningskedja säkrare, och företag kan använda SLSA för att fatta beslut om huruvida de ska lita på ett mjukvarupaket, enligt Open Source Security Foundation.

SLSA tillhandahåller en gemensam vokabulär för att prata om säkerhet i mjukvaruförsörjningskedjan; ett sätt för utvecklare att bedöma uppströmsberoenden genom att utvärdera tillförlitligheten hos källkod, builds och behållarbilder som används i applikationen; en handlingsbar säkerhetschecklista; och ett sätt att mäta efterlevnaden av det kommande ramverket för Secure Software Development Framework (SSDF).

SLSA v1.0-versionen delar upp SLSA:s nivåkrav i flera spår, var och en mäter en viss aspekt av mjukvaruförsörjningskedjans säkerhet. De nya spåren kommer att hjälpa användare att bättre förstå och mildra riskerna förknippade med mjukvaruförsörjningskedjor och i slutändan utveckla, demonstrera och använda säkrare och pålitligare mjukvara, säger OpenSSF. SLSA v1.0 ger också mer explicit vägledning om hur man verifierar härkomst, tillsammans med att göra motsvarande ändringar i specifikationen och härkomstformatet.

Smakämnen Bygg spår Nivå 1-3, som ungefär motsvarar nivåerna 1-3 i tidigare SLSA-versioner, beskriver nivåer av skydd mot manipulering under eller efter mjukvarubygget. Byggspårkraven återspeglar de uppgifter som krävs: att producera artefakter, verifiera byggsystem och verifiera artefakter. Framtida versioner av ramverket kommer att bygga på krav för att hantera andra aspekter av mjukvaruleveransens livscykel.

Bygg L1 indikerar härkomst, visar hur paketet byggdes; Bygg L2 indikerar undertecknad härkomst, genererad av en värdbaserad byggtjänst; och Bygg L3 indikerar att byggtjänsten har härdats.

Ju högre nivå, desto högre förtroende för att ett paket kan spåras tillbaka till sin källa och inte har manipulerats, sa OpenSSF.

Säkerhet för mjukvaruförsörjningskedjan är en nyckelkomponent i Biden-administrationens USA:s nationella cybersäkerhetsstrategi, eftersom det driver programvaruleverantörer att ta ett större ansvar för säkerheten för sina produkter. Och nyligen släppte 10 statliga myndigheter från sju länder (Australien, Kanada, Tyskland, Nederländerna, Nya Zeeland, Storbritannien och USA) nya riktlinjer, "Förskjutning av balansen mellan cybersäkerhetsrisk: principer och tillvägagångssätt för säkerhetsdesign och -standard”, för att uppmana mjukvaruutvecklare att vidta nödvändiga åtgärder för att säkerställa att de skickar produkter som både är säkra genom design och som standard. Det innebär att ta bort standardlösenord, skriva på säkrare programmeringsspråk och upprätta program för att avslöja sårbarheter för att rapportera brister.

Som en del av att säkra programvaruförsörjningskedjan bör säkerhetsteam samarbeta med utvecklare för att utbilda dem om säker kodningsmetoder och skräddarsy utbildning för säkerhetsmedvetenhet för att inkludera riskerna kring programvaruutvecklingens livscykel.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Källa: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework