Open Source Security Foundation (OpenSSF) ได้เปิดตัว v1.0 ของ Supply-chain Levels for Software Artifacts (SLSA) พร้อมข้อกำหนดเฉพาะสำหรับห่วงโซ่อุปทานของซอฟต์แวร์
ทีมพัฒนาแอปพลิเคชันสมัยใหม่นำโค้ดจากแอปพลิเคชันอื่นมาใช้ซ้ำเป็นประจำ และดึงส่วนประกอบโค้ดและเครื่องมือสำหรับนักพัฒนาจากแหล่งข้อมูลมากมาย การวิจัยจาก Snyk และ Linux Foundation เมื่อปีที่แล้วพบว่า 41% ขององค์กร ไม่มีความมั่นใจสูงในความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส. ด้วยการโจมตีของห่วงโซ่อุปทานซึ่งเป็นภัยคุกคามที่เกิดขึ้นตลอดเวลาและมีการพัฒนาตลอดเวลา ตอนนี้ทั้งทีมพัฒนาซอฟต์แวร์และทีมรักษาความปลอดภัยตระหนักดีว่าส่วนประกอบและเฟรมเวิร์กโอเพ่นซอร์สจำเป็นต้องได้รับการรักษาความปลอดภัย
SLSA เป็นโครงการมาตรฐานความปลอดภัยของซัพพลายเชนที่ขับเคลื่อนโดยชุมชน ซึ่งได้รับการสนับสนุนจากบริษัทเทคโนโลยีรายใหญ่ เช่น Google, Intel, Microsoft, VMware และ IBM SLSA มุ่งเน้นไปที่การเพิ่มความเข้มงวดด้านความปลอดภัยภายในกระบวนการพัฒนาซอฟต์แวร์ นักพัฒนาสามารถปฏิบัติตามแนวทางของ SLSA เพื่อทำให้ห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยมากขึ้น และองค์กรต่างๆ สามารถใช้ SLSA เพื่อตัดสินใจว่าจะเชื่อถือแพคเกจซอฟต์แวร์หรือไม่ ตามข้อมูลของ Open Source Security Foundation
SLSA ให้คำศัพท์ทั่วไปเพื่อพูดคุยเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ วิธีสำหรับนักพัฒนาในการประเมินการพึ่งพาอัปสตรีมโดยการประเมินความน่าเชื่อถือของซอร์สโค้ด บิลด์ และคอนเทนเนอร์อิมเมจที่ใช้ในแอปพลิเคชัน รายการตรวจสอบความปลอดภัยที่สามารถดำเนินการได้ และวิธีการวัดความสอดคล้องกับ Secure Software Development Framework (SSDF) ที่กำลังจะมาถึง
การเปิดตัว SLSA v1.0 แบ่งข้อกำหนดระดับของ SLSA ออกเป็นหลายๆ แทร็ก โดยแต่ละแทร็กจะวัดลักษณะเฉพาะของการรักษาความปลอดภัยห่วงโซ่อุปทานของซอฟต์แวร์ เส้นทางใหม่นี้จะช่วยให้ผู้ใช้เข้าใจได้ดีขึ้นและลดความเสี่ยงที่เกี่ยวข้องกับห่วงโซ่อุปทานของซอฟต์แวร์ และท้ายที่สุดจะพัฒนา สาธิต และใช้ซอฟต์แวร์ที่ปลอดภัยและเชื่อถือได้มากขึ้น OpenSSF กล่าว SLSA v1.0 ยังให้คำแนะนำที่ชัดเจนยิ่งขึ้นเกี่ยวกับวิธีการตรวจสอบแหล่งที่มา พร้อมกับการเปลี่ยนแปลงข้อมูลจำเพาะและรูปแบบแหล่งที่มาที่สอดคล้องกัน
พื้นที่ ติดตามการสร้าง ระดับ 1-3 ซึ่งตรงกับระดับ 1-3 ใน SLSA เวอร์ชันก่อนหน้าอย่างคร่าว ๆ จะอธิบายระดับการป้องกันการปลอมแปลงในระหว่างหรือหลังการสร้างซอฟต์แวร์ ข้อกำหนดการติดตามบิลด์สะท้อนถึงงานที่จำเป็น: การผลิตสิ่งประดิษฐ์ การตรวจสอบระบบบิลด์ และการตรวจสอบสิ่งประดิษฐ์ เฟรมเวิร์กเวอร์ชันในอนาคตจะสร้างขึ้นจากข้อกำหนดเพื่อระบุด้านอื่นๆ ของวงจรชีวิตการส่งมอบซอฟต์แวร์
Build L1 ระบุที่มา แสดงวิธีสร้างแพ็คเกจ Build L2 ระบุแหล่งที่มาที่ลงนาม ซึ่งสร้างขึ้นโดยบริการสร้างที่เป็นโฮสต์ และ Build L3 บ่งชี้ว่าบริการ build ได้รับการเสริมความแข็งแกร่งแล้ว
OpenSSF กล่าวว่า ยิ่งระดับสูงขึ้นเท่าใด ก็ยิ่งมีความมั่นใจมากขึ้นว่าสามารถตรวจสอบย้อนกลับถึงแหล่งที่มาของพัสดุได้และไม่ได้รับการแก้ไข
ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์เป็นองค์ประกอบสำคัญของฝ่ายบริหารของ Biden ยุทธศาสตร์ความปลอดภัยทางไซเบอร์แห่งชาติของสหรัฐอเมริกา เนื่องจากเป็นการผลักดันให้ผู้ให้บริการซอฟต์แวร์มีความรับผิดชอบมากขึ้นต่อความปลอดภัยของผลิตภัณฑ์ของตน และเมื่อเร็ว ๆ นี้ หน่วยงานรัฐบาล 10 แห่งจาก XNUMX ประเทศ (ออสเตรเลีย แคนาดา เยอรมนี เนเธอร์แลนด์ นิวซีแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา) ได้ออกหลักเกณฑ์ใหม่ “การเปลี่ยนความสมดุลของความเสี่ยงด้านความปลอดภัยทางไซเบอร์: หลักการและแนวทางเพื่อความปลอดภัยตามการออกแบบและค่าเริ่มต้น,” เพื่อกระตุ้นให้นักพัฒนาซอฟต์แวร์ดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้แน่ใจว่าพวกเขากำลังจัดส่งผลิตภัณฑ์ที่มีทั้งความปลอดภัยตามการออกแบบและตามค่าเริ่มต้น นั่นหมายถึงการลบรหัสผ่านเริ่มต้น การเขียนด้วยภาษาโปรแกรมที่ปลอดภัยยิ่งขึ้น และสร้างโปรแกรมเปิดเผยช่องโหว่สำหรับรายงานข้อบกพร่อง
ในฐานะที่เป็นส่วนหนึ่งของการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ ทีมรักษาความปลอดภัยควรมีส่วนร่วมกับนักพัฒนาเพื่อให้ความรู้แก่พวกเขาเกี่ยวกับแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัยและปรับแต่งการฝึกอบรมการรับรู้ด้านความปลอดภัยให้ครอบคลุมถึงความเสี่ยงรอบวงจรชีวิตการพัฒนาซอฟต์แวร์
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :มี
- :เป็น
- :ไม่
- 10
- 7
- a
- เกี่ยวกับเรา
- ตาม
- ที่อยู่
- เพิ่ม
- การบริหาร
- หลังจาก
- กับ
- หน่วยงานที่
- ตาม
- ด้วย
- an
- และ
- การใช้งาน
- การพัฒนาโปรแกรมประยุกต์
- การใช้งาน
- วิธีการ
- เป็น
- AS
- แง่มุม
- ด้าน
- ที่เกี่ยวข้อง
- การโจมตี
- ออสเตรเลีย
- ความตระหนัก
- กลับ
- ถอย
- ยอดคงเหลือ
- BE
- รับ
- ดีกว่า
- ไบเดน
- การบริหาร Biden
- ทั้งสอง
- สร้าง
- สร้าง
- สร้าง
- by
- CAN
- แคนาดา
- โซ่
- ห่วงโซ่
- การเปลี่ยนแปลง
- รหัส
- การเข้ารหัส
- ร่วมกัน
- ขับเคลื่อนโดยชุมชน
- บริษัท
- การปฏิบัติตาม
- ส่วนประกอบ
- ส่วนประกอบ
- ความมั่นใจ
- ภาชนะ
- ตรงกัน
- ประเทศ
- cybersecurity
- วงจร
- การตัดสินใจ
- ค่าเริ่มต้น
- การจัดส่ง
- สาธิต
- ออกแบบ
- พัฒนา
- ผู้พัฒนา
- นักพัฒนา
- พัฒนาการ
- การเปิดเผย
- ในระหว่าง
- แต่ละ
- ก่อน
- สอน
- น่าสนใจ
- ทำให้มั่นใจ
- ผู้ประกอบการ
- การสร้าง
- การประเมินการ
- ข้อบกพร่อง
- มุ่งเน้นไปที่
- ปฏิบัติตาม
- สำหรับ
- รูป
- เตรียมพร้อม
- พบ
- รากฐาน
- กรอบ
- กรอบ
- ราคาเริ่มต้นที่
- อนาคต
- สร้าง
- ประเทศเยอรมัน
- รัฐบาล
- มากขึ้น
- คำแนะนำ
- แนวทาง
- มี
- ช่วย
- จุดสูง
- สูงกว่า
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTML
- HTTPS
- ไอบีเอ็ม
- ภาพ
- in
- ประกอบด้วย
- ที่เพิ่มขึ้น
- บ่งชี้ว่า
- อินเทล
- เข้าไป
- IT
- ITS
- jpg
- คีย์
- อาณาจักร
- L1
- l2
- ภาษา
- ชื่อสกุล
- ปีที่แล้ว
- ชั้น
- ระดับ
- ชีวิต
- ลินุกซ์
- มูลนิธิลินุกซ์
- สำคัญ
- ทำ
- การทำ
- วิธี
- วัด
- การวัด
- ไมโครซอฟท์
- บรรเทา
- ข้อมูลเพิ่มเติม
- หลาย
- แห่งชาติ
- จำเป็น
- จำเป็นต้อง
- เนเธอร์แลนด์
- ใหม่
- นิวซีแลนด์
- ตอนนี้
- of
- on
- ONE
- เปิด
- โอเพนซอร์ส
- or
- องค์กร
- อื่นๆ
- แพ็คเกจ
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- รหัสผ่าน
- รูปแบบไฟล์ PDF
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- การปฏิบัติ
- หลักการ
- กระบวนการ
- ผลิตภัณฑ์
- การเขียนโปรแกรม
- การเขียนโปรแกรมภาษา
- โปรแกรม
- โครงการ
- การป้องกัน
- ราก
- ผู้ให้บริการ
- ให้
- เมื่อเร็ว ๆ นี้
- รับรู้
- สะท้อน
- สม่ำเสมอ
- การเผยแพร่
- น่าเชื่อถือ
- ลบ
- การรายงาน
- จำเป็นต้องใช้
- ความต้องการ
- การวิจัย
- ความรับผิดชอบ
- นำมาใช้ใหม่
- ความเสี่ยง
- ความเสี่ยง
- ลวก
- s
- ปลอดภัยมากขึ้น
- กล่าวว่า
- พูดว่า
- ปลอดภัย
- ปลอดภัย
- การรักษา
- ความปลอดภัย
- ตระหนักถึงความปลอดภัย
- บริการ
- เจ็ด
- การส่งสินค้า
- น่า
- ลงนาม
- ซอฟต์แวร์
- นักพัฒนาซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- แหล่ง
- รหัสแหล่งที่มา
- แหล่งที่มา
- โดยเฉพาะ
- สเปค
- มาตรฐาน
- สหรัฐอเมริกา
- ขั้นตอน
- กลยุทธ์
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ซัพพลายเชน
- ที่ล้อมรอบ
- ระบบ
- เอา
- คุย
- งาน
- ทีม
- เทคโนโลยี
- บริษัท เทคโนโลยี
- ที่
- พื้นที่
- เนเธอร์แลนด์
- สหราชอาณาจักร
- ของพวกเขา
- พวกเขา
- พวกเขา
- การคุกคาม
- ไปยัง
- เครื่องมือ
- ลู่
- การฝึกอบรม
- วางใจ
- ในที่สุด
- เข้าใจ
- พร้อมใจกัน
- สหราชอาณาจักร
- ประเทศสหรัฐอเมริกา
- ใช้
- มือสอง
- ผู้ใช้
- v1
- ตรวจสอบ
- การตรวจสอบ
- VMware
- ความอ่อนแอ
- คือ
- ทาง..
- ว่า
- ที่
- จะ
- กับ
- ภายใน
- การเขียน
- ปี
- นิวซีแลนด์
- ลมทะเล