Açık Kaynak Güvenlik Vakfı (OpenSSF), yazılım tedarik zincirine yönelik özel hükümler içeren Yazılım Eserleri için Tedarik Zinciri Düzeyleri'nin (SLSA) v1.0'ını yayımladı.
Modern uygulama geliştirme ekipleri düzenli olarak diğer uygulamalardaki kodları yeniden kullanır ve kod bileşenlerini ve geliştirici araçlarını sayısız kaynaktan alır. Snyk ve Linux Vakfı'nın geçen yıl yaptığı araştırma, kuruluşların %41'inin açık kaynak yazılım güvenliğine fazla güvenim yoktu. Tedarik zinciri saldırılarının sürekli mevcut ve sürekli gelişen bir tehdit oluşturmasıyla birlikte, hem yazılım geliştirme ekipleri hem de güvenlik ekipleri artık açık kaynak bileşenlerinin ve çerçevelerinin güvence altına alınması gerektiğinin farkındadır.
SLSA, Google, Intel, Microsoft, VMware ve IBM gibi büyük teknoloji şirketleri tarafından desteklenen, topluluk odaklı bir tedarik zinciri güvenlik standartları projesidir. SLSA, yazılım geliştirme sürecinde güvenlik titizliğini artırmaya odaklanır. Open Source Security Foundation'a göre geliştiriciler, yazılım tedarik zincirlerini daha güvenli hale getirmek için SLSA'nın yönergelerini takip edebilir ve işletmeler, bir yazılım paketine güvenip güvenmeme konusunda karar vermek için SLSA'yı kullanabilir.
SLSA, yazılım tedarik zinciri güvenliği hakkında konuşmak için ortak bir kelime dağarcığı sağlar; geliştiricilerin uygulamada kullanılan kaynak kodunun, yapıların ve kapsayıcı görüntülerinin güvenilirliğini değerlendirerek yukarı akış bağımlılıklarını değerlendirmelerinin bir yolu; eyleme geçirilebilir bir güvenlik kontrol listesi; ve yakında çıkacak Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ile uyumluluğu ölçmenin bir yolu.
SLSA v1.0 sürümü SLSA'nın seviye gereksinimlerini, her biri yazılım tedarik zinciri güvenliğinin belirli bir yönünü ölçen birden fazla parçaya böler. OpenSSF, yeni yolların kullanıcıların yazılım tedarik zincirleriyle ilişkili riskleri daha iyi anlamasına ve azaltmasına ve sonuçta daha güvenli ve güvenilir yazılım geliştirmesine, göstermesine ve kullanmasına yardımcı olacağını söylüyor. SLSA v1.0 ayrıca spesifikasyon ve kaynak formatında ilgili değişikliklerin yapılmasının yanı sıra kaynağın nasıl doğrulanacağı konusunda daha açık bir rehberlik sağlar.
The Parkur Oluştur Kabaca önceki SLSA sürümlerinde Düzey 1-3'e karşılık gelen Düzey 1-3, yazılım oluşturma sırasında veya sonrasında kurcalamaya karşı koruma düzeylerini açıklar. Derleme İzleme gereksinimleri gerekli görevleri yansıtır: yapıtların üretilmesi, yapı sistemlerinin doğrulanması ve yapıtların doğrulanması. Çerçevenin gelecek sürümleri, yazılım teslim yaşam döngüsünün diğer yönlerini ele alacak gereksinimler üzerine inşa edilecektir.
Yapı L1, paketin nasıl oluşturulduğunu gösteren kaynağı belirtir; Derleme L2, barındırılan bir derleme hizmeti tarafından oluşturulan imzalı kaynağı belirtir; ve Yapı L3, derleme hizmetinin güçlendirildiğini gösterir.
OpenSSF, seviye ne kadar yüksek olursa, paketin kaynağına kadar izlenebileceğine ve kurcalanmadığına dair güvenin de o kadar yüksek olacağını söyledi.
Yazılım tedarik zinciri güvenliği, Biden yönetiminin önemli bir bileşenidir ABD Ulusal Siber Güvenlik Stratejisi, yazılım sağlayıcılarını, ürünlerinin güvenliği konusunda daha fazla sorumluluk üstlenmeye zorluyor. Ve son zamanlarda, yedi ülkeden (Avustralya, Kanada, Almanya, Hollanda, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri) 10 devlet kurumu yeni yönergeler yayınladı: "Siber Güvenlik Riski Dengesini Değiştirmek: Tasarım ve Varsayılan Güvenlik İlkeleri ve Yaklaşımları"yazılım geliştiricilerini hem tasarım gereği hem de varsayılan olarak güvenli ürünler gönderdiklerinden emin olmak için gerekli adımları atmaya teşvik etmek için. Bu, varsayılan şifreleri kaldırmak, daha güvenli programlama dillerinde yazmak ve kusurları bildirmek için güvenlik açığı açıklama programları oluşturmak anlamına gelir.
Yazılım tedarik zincirini güvence altına almanın bir parçası olarak, güvenlik ekipleri geliştiricilerle etkileşime geçerek onları güvenli kodlama uygulamaları konusunda eğitmeli ve güvenlik farkındalığı eğitimini yazılım geliştirme yaşam döngüsünü çevreleyen riskleri içerecek şekilde uyarlamalıdır.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :vardır
- :dır-dir
- :olumsuzluk
- 10
- 7
- a
- Hakkımızda
- Göre
- adres
- Ekler
- yönetim
- Sonra
- karşı
- ajansları
- boyunca
- Ayrıca
- an
- ve
- Uygulama
- Uygulama Geliştirme
- uygulamaları
- yaklaşımlar
- ARE
- AS
- boy
- yönleri
- ilişkili
- saldırılar
- Avustralya
- farkındalık
- Arka
- arka çıkılmış
- Bakiye
- BE
- olmuştur
- Daha iyi
- biden
- Biden Yönetimi
- her ikisi de
- inşa etmek
- inşa
- yapılı
- by
- CAN
- Kanada
- zincir
- zincirler
- değişiklikler
- kod
- kodlama
- ortak
- Topluluk Odaklı
- Şirketler
- uyma
- bileşen
- bileşenler
- güven
- Konteyner
- uyan
- ülkeler
- Siber güvenlik
- devir
- kararlar
- Varsayılan
- teslim
- göstermek
- Dizayn
- geliştirmek
- Geliştirici
- geliştiriciler
- gelişme
- ifşa
- sırasında
- her
- Daha erken
- eğitmek
- çekici
- sağlamak
- işletmelerin
- kurulması
- değerlendirilmesi
- kusurları
- odaklanır
- takip et
- İçin
- biçim
- önümüzdeki
- bulundu
- vakıf
- iskelet
- çerçeveler
- itibaren
- gelecek
- oluşturulan
- Almanya
- Hükümet
- büyük
- rehberlik
- kuralları yenileyerek
- Var
- yardım et
- Yüksek
- daha yüksek
- ev sahipliği yaptı
- Ne kadar
- Nasıl Yapılır
- HTML
- HTTPS
- IBM
- görüntüleri
- in
- dahil
- artan
- gösterir
- Intel
- içine
- IT
- ONUN
- jpg
- anahtar
- Krallık
- L1
- l2
- Diller
- Soyad
- Geçen yıl
- seviye
- seviyeleri
- hayat
- linux
- linux temeli
- büyük
- yapmak
- Yapımı
- anlamına geliyor
- ölçmek
- ölçme
- Microsoft
- Azaltmak
- Daha
- çoklu
- ulusal
- gerekli
- gerek
- Hollanda
- yeni
- Yeni Zelanda
- şimdi
- of
- on
- ONE
- açık
- açık kaynak
- or
- organizasyonlar
- Diğer
- paket
- Bölüm
- belirli
- şifreleri
- Platon
- Plato Veri Zekası
- PlatoVeri
- uygulamalar
- ilkeler
- süreç
- Ürünler
- Programlama
- Programlama dilleri
- Programlar
- proje
- koruma
- kaynak
- sağlayıcılar
- sağlar
- geçenlerde
- tanımak
- yansıtmak
- düzenli
- serbest
- güvenilir
- kaldırma
- Raporlama
- gereklidir
- Yer Alan Kurallar
- araştırma
- sorumluluk
- yeniden
- Risk
- riskler
- kabaca
- s
- daha güvenli
- Adı geçen
- diyor
- güvenli
- Secured
- sabitleme
- güvenlik
- Güvenlik farkındalığı
- hizmet
- Yedi
- Kargo
- meli
- imzalı
- Yazılım
- Yazılım geliştiricileri
- yazılım geliştirme
- Kaynak
- kaynak kodu
- kaynaklar
- özel
- şartname
- standartlar
- Devletler
- Basamaklar
- Stratejileri
- böyle
- arz
- tedarik zinciri
- Tedarik zinciri
- çevreleyen
- Sistemler
- Bizi daha iyi tanımak için
- Konuşmak
- görevleri
- takım
- Teknoloji
- teknoloji şirketleri
- o
- The
- Hollanda
- Birleşik Krallık
- ve bazı Asya
- Onları
- onlar
- tehdit
- için
- araçlar
- iz
- Eğitim
- Güven
- eninde sonunda
- anlamak
- Birleşik
- İngiltere
- USA
- kullanım
- Kullanılmış
- kullanıcılar
- v1
- doğrulamak
- doğrulama
- vmware
- güvenlik açığı
- oldu
- Yol..
- olup olmadığını
- hangi
- irade
- ile
- içinde
- yazı yazıyor
- yıl
- Zelanda
- zefirnet