OpenSSF, Yazılım Tedarik Zinciri İzlerini SLSA Çerçevesine Ekliyor

Açık Kaynak Güvenlik Vakfı (OpenSSF), yazılım tedarik zincirine yönelik özel hükümler içeren Yazılım Eserleri için Tedarik Zinciri Düzeyleri'nin (SLSA) v1.0'ını yayımladı.

Modern uygulama geliştirme ekipleri düzenli olarak diğer uygulamalardaki kodları yeniden kullanır ve kod bileşenlerini ve geliştirici araçlarını sayısız kaynaktan alır. Snyk ve Linux Vakfı'nın geçen yıl yaptığı araştırma, kuruluşların %41'inin açık kaynak yazılım güvenliğine fazla güvenim yoktu. Tedarik zinciri saldırılarının sürekli mevcut ve sürekli gelişen bir tehdit oluşturmasıyla birlikte, hem yazılım geliştirme ekipleri hem de güvenlik ekipleri artık açık kaynak bileşenlerinin ve çerçevelerinin güvence altına alınması gerektiğinin farkındadır.

SLSA, Google, Intel, Microsoft, VMware ve IBM gibi büyük teknoloji şirketleri tarafından desteklenen, topluluk odaklı bir tedarik zinciri güvenlik standartları projesidir. SLSA, yazılım geliştirme sürecinde güvenlik titizliğini artırmaya odaklanır. Open Source Security Foundation'a göre geliştiriciler, yazılım tedarik zincirlerini daha güvenli hale getirmek için SLSA'nın yönergelerini takip edebilir ve işletmeler, bir yazılım paketine güvenip güvenmeme konusunda karar vermek için SLSA'yı kullanabilir.

SLSA, yazılım tedarik zinciri güvenliği hakkında konuşmak için ortak bir kelime dağarcığı sağlar; geliştiricilerin uygulamada kullanılan kaynak kodunun, yapıların ve kapsayıcı görüntülerinin güvenilirliğini değerlendirerek yukarı akış bağımlılıklarını değerlendirmelerinin bir yolu; eyleme geçirilebilir bir güvenlik kontrol listesi; ve yakında çıkacak Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ile uyumluluğu ölçmenin bir yolu.

SLSA v1.0 sürümü SLSA'nın seviye gereksinimlerini, her biri yazılım tedarik zinciri güvenliğinin belirli bir yönünü ölçen birden fazla parçaya böler. OpenSSF, yeni yolların kullanıcıların yazılım tedarik zincirleriyle ilişkili riskleri daha iyi anlamasına ve azaltmasına ve sonuçta daha güvenli ve güvenilir yazılım geliştirmesine, göstermesine ve kullanmasına yardımcı olacağını söylüyor. SLSA v1.0 ayrıca spesifikasyon ve kaynak formatında ilgili değişikliklerin yapılmasının yanı sıra kaynağın nasıl doğrulanacağı konusunda daha açık bir rehberlik sağlar.

The Parkur Oluştur Kabaca önceki SLSA sürümlerinde Düzey 1-3'e karşılık gelen Düzey 1-3, yazılım oluşturma sırasında veya sonrasında kurcalamaya karşı koruma düzeylerini açıklar. Derleme İzleme gereksinimleri gerekli görevleri yansıtır: yapıtların üretilmesi, yapı sistemlerinin doğrulanması ve yapıtların doğrulanması. Çerçevenin gelecek sürümleri, yazılım teslim yaşam döngüsünün diğer yönlerini ele alacak gereksinimler üzerine inşa edilecektir.

Yapı L1, paketin nasıl oluşturulduğunu gösteren kaynağı belirtir; Derleme L2, barındırılan bir derleme hizmeti tarafından oluşturulan imzalı kaynağı belirtir; ve Yapı L3, derleme hizmetinin güçlendirildiğini gösterir.

OpenSSF, seviye ne kadar yüksek olursa, paketin kaynağına kadar izlenebileceğine ve kurcalanmadığına dair güvenin de o kadar yüksek olacağını söyledi.

Yazılım tedarik zinciri güvenliği, Biden yönetiminin önemli bir bileşenidir ABD Ulusal Siber Güvenlik Stratejisi, yazılım sağlayıcılarını, ürünlerinin güvenliği konusunda daha fazla sorumluluk üstlenmeye zorluyor. Ve son zamanlarda, yedi ülkeden (Avustralya, Kanada, Almanya, Hollanda, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri) 10 devlet kurumu yeni yönergeler yayınladı: "Siber Güvenlik Riski Dengesini Değiştirmek: Tasarım ve Varsayılan Güvenlik İlkeleri ve Yaklaşımları"yazılım geliştiricilerini hem tasarım gereği hem de varsayılan olarak güvenli ürünler gönderdiklerinden emin olmak için gerekli adımları atmaya teşvik etmek için. Bu, varsayılan şifreleri kaldırmak, daha güvenli programlama dillerinde yazmak ve kusurları bildirmek için güvenlik açığı açıklama programları oluşturmak anlamına gelir.

Yazılım tedarik zincirini güvence altına almanın bir parçası olarak, güvenlik ekipleri geliştiricilerle etkileşime geçerek onları güvenli kodlama uygulamaları konusunda eğitmeli ve güvenlik farkındalığı eğitimini yazılım geliştirme yaşam döngüsünü çevreleyen riskleri içerecek şekilde uyarlamalıdır.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• Kaynak: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework