OpenSSF เพิ่ม Software Supply Chain Tracks ให้กับ SLSA Framework

Open Source Security Foundation (OpenSSF) ได้เปิดตัว v1.0 ของ Supply-chain Levels for Software Artifacts (SLSA) พร้อมข้อกำหนดเฉพาะสำหรับห่วงโซ่อุปทานของซอฟต์แวร์

ทีมพัฒนาแอปพลิเคชันสมัยใหม่นำโค้ดจากแอปพลิเคชันอื่นมาใช้ซ้ำเป็นประจำ และดึงส่วนประกอบโค้ดและเครื่องมือสำหรับนักพัฒนาจากแหล่งข้อมูลมากมาย การวิจัยจาก Snyk และ Linux Foundation เมื่อปีที่แล้วพบว่า 41% ขององค์กร ไม่มีความมั่นใจสูงในความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส. ด้วยการโจมตีของห่วงโซ่อุปทานซึ่งเป็นภัยคุกคามที่เกิดขึ้นตลอดเวลาและมีการพัฒนาตลอดเวลา ตอนนี้ทั้งทีมพัฒนาซอฟต์แวร์และทีมรักษาความปลอดภัยตระหนักดีว่าส่วนประกอบและเฟรมเวิร์กโอเพ่นซอร์สจำเป็นต้องได้รับการรักษาความปลอดภัย

SLSA เป็นโครงการมาตรฐานความปลอดภัยของซัพพลายเชนที่ขับเคลื่อนโดยชุมชน ซึ่งได้รับการสนับสนุนจากบริษัทเทคโนโลยีรายใหญ่ เช่น Google, Intel, Microsoft, VMware และ IBM SLSA มุ่งเน้นไปที่การเพิ่มความเข้มงวดด้านความปลอดภัยภายในกระบวนการพัฒนาซอฟต์แวร์ นักพัฒนาสามารถปฏิบัติตามแนวทางของ SLSA เพื่อทำให้ห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยมากขึ้น และองค์กรต่างๆ สามารถใช้ SLSA เพื่อตัดสินใจว่าจะเชื่อถือแพคเกจซอฟต์แวร์หรือไม่ ตามข้อมูลของ Open Source Security Foundation

SLSA ให้คำศัพท์ทั่วไปเพื่อพูดคุยเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ วิธีสำหรับนักพัฒนาในการประเมินการพึ่งพาอัปสตรีมโดยการประเมินความน่าเชื่อถือของซอร์สโค้ด บิลด์ และคอนเทนเนอร์อิมเมจที่ใช้ในแอปพลิเคชัน รายการตรวจสอบความปลอดภัยที่สามารถดำเนินการได้ และวิธีการวัดความสอดคล้องกับ Secure Software Development Framework (SSDF) ที่กำลังจะมาถึง

การเปิดตัว SLSA v1.0 แบ่งข้อกำหนดระดับของ SLSA ออกเป็นหลายๆ แทร็ก โดยแต่ละแทร็กจะวัดลักษณะเฉพาะของการรักษาความปลอดภัยห่วงโซ่อุปทานของซอฟต์แวร์ เส้นทางใหม่นี้จะช่วยให้ผู้ใช้เข้าใจได้ดีขึ้นและลดความเสี่ยงที่เกี่ยวข้องกับห่วงโซ่อุปทานของซอฟต์แวร์ และท้ายที่สุดจะพัฒนา สาธิต และใช้ซอฟต์แวร์ที่ปลอดภัยและเชื่อถือได้มากขึ้น OpenSSF กล่าว SLSA v1.0 ยังให้คำแนะนำที่ชัดเจนยิ่งขึ้นเกี่ยวกับวิธีการตรวจสอบแหล่งที่มา พร้อมกับการเปลี่ยนแปลงข้อมูลจำเพาะและรูปแบบแหล่งที่มาที่สอดคล้องกัน

พื้นที่ ติดตามการสร้าง ระดับ 1-3 ซึ่งตรงกับระดับ 1-3 ใน SLSA เวอร์ชันก่อนหน้าอย่างคร่าว ๆ จะอธิบายระดับการป้องกันการปลอมแปลงในระหว่างหรือหลังการสร้างซอฟต์แวร์ ข้อกำหนดการติดตามบิลด์สะท้อนถึงงานที่จำเป็น: การผลิตสิ่งประดิษฐ์ การตรวจสอบระบบบิลด์ และการตรวจสอบสิ่งประดิษฐ์ เฟรมเวิร์กเวอร์ชันในอนาคตจะสร้างขึ้นจากข้อกำหนดเพื่อระบุด้านอื่นๆ ของวงจรชีวิตการส่งมอบซอฟต์แวร์

Build L1 ระบุที่มา แสดงวิธีสร้างแพ็คเกจ Build L2 ระบุแหล่งที่มาที่ลงนาม ซึ่งสร้างขึ้นโดยบริการสร้างที่เป็นโฮสต์ และ Build L3 บ่งชี้ว่าบริการ build ได้รับการเสริมความแข็งแกร่งแล้ว

OpenSSF กล่าวว่า ยิ่งระดับสูงขึ้นเท่าใด ก็ยิ่งมีความมั่นใจมากขึ้นว่าสามารถตรวจสอบย้อนกลับถึงแหล่งที่มาของพัสดุได้และไม่ได้รับการแก้ไข

ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์เป็นองค์ประกอบสำคัญของฝ่ายบริหารของ Biden ยุทธศาสตร์ความปลอดภัยทางไซเบอร์แห่งชาติของสหรัฐอเมริกา เนื่องจากเป็นการผลักดันให้ผู้ให้บริการซอฟต์แวร์มีความรับผิดชอบมากขึ้นต่อความปลอดภัยของผลิตภัณฑ์ของตน และเมื่อเร็ว ๆ นี้ หน่วยงานรัฐบาล 10 แห่งจาก XNUMX ประเทศ (ออสเตรเลีย แคนาดา เยอรมนี เนเธอร์แลนด์ นิวซีแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา) ได้ออกหลักเกณฑ์ใหม่ “การเปลี่ยนความสมดุลของความเสี่ยงด้านความปลอดภัยทางไซเบอร์: หลักการและแนวทางเพื่อความปลอดภัยตามการออกแบบและค่าเริ่มต้น,” เพื่อกระตุ้นให้นักพัฒนาซอฟต์แวร์ดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้แน่ใจว่าพวกเขากำลังจัดส่งผลิตภัณฑ์ที่มีทั้งความปลอดภัยตามการออกแบบและตามค่าเริ่มต้น นั่นหมายถึงการลบรหัสผ่านเริ่มต้น การเขียนด้วยภาษาโปรแกรมที่ปลอดภัยยิ่งขึ้น และสร้างโปรแกรมเปิดเผยช่องโหว่สำหรับรายงานข้อบกพร่อง

ในฐานะที่เป็นส่วนหนึ่งของการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ ทีมรักษาความปลอดภัยควรมีส่วนร่วมกับนักพัฒนาเพื่อให้ความรู้แก่พวกเขาเกี่ยวกับแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัยและปรับแต่งการฝึกอบรมการรับรู้ด้านความปลอดภัยให้ครอบคลุมถึงความเสี่ยงรอบวงจรชีวิตการพัฒนาซอฟต์แวร์

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework