OpenSSF додає треки ланцюга постачання програмного забезпечення до SLSA Framework

Open Source Security Foundation (OpenSSF) випустив версію 1.0 Supply-chain Levels for Software Artifacts (SLSA) із спеціальними положеннями для ланцюга постачання програмного забезпечення.

Сучасні команди розробників програм регулярно повторно використовують код з інших програм і беруть компоненти коду та інструменти розробника з безлічі джерел. Минулорічні дослідження Snyk і Linux Foundation показали, що 41% організацій не мав високої впевненості в безпеці програмного забезпечення з відкритим кодом. Оскільки атаки на ланцюги поставок становлять постійну загрозу, яка постійно розвивається, і групи розробників програмного забезпечення, і групи безпеки тепер усвідомлюють, що компоненти та інфраструктури з відкритим кодом необхідно захищати.

SLSA — це проект стандартів безпеки ланцюга поставок, керований спільнотою, який підтримується великими технологічними компаніями, такими як Google, Intel, Microsoft, VMware та IBM. SLSA зосереджується на посиленні безпеки в процесі розробки програмного забезпечення. Згідно з Open Source Security Foundation, розробники можуть дотримуватися вказівок SLSA, щоб зробити свій ланцюжок постачання програмного забезпечення більш безпечним, а підприємства можуть використовувати SLSA для прийняття рішень про те, чи варто довіряти програмному пакету.

SLSA надає загальний словниковий запас, щоб говорити про безпеку ланцюжка поставок програмного забезпечення; спосіб для розробників оцінити залежності вихідного потоку шляхом оцінки надійності вихідного коду, збірок і зображень контейнерів, що використовуються в програмі; дієвий контрольний список безпеки; а також спосіб вимірювання відповідності майбутнім Secure Software Development Framework (SSDF).

Випуск SLSA v1.0 розділяє вимоги до рівня SLSA на кілька напрямків, кожен з яких вимірює окремий аспект безпеки ланцюга постачання програмного забезпечення. Нові треки допоможуть користувачам краще зрозуміти та зменшити ризики, пов’язані з ланцюгами постачання програмного забезпечення, і, зрештою, розробити, продемонструвати та використовувати більш безпечне та надійне програмне забезпечення, зазначає OpenSSF. SLSA v1.0 також надає більш чіткі вказівки щодо того, як перевірити походження, разом із внесенням відповідних змін до специфікації та формату походження.

Команда Build Track Рівні 1-3, які приблизно відповідають рівням 1-3 у попередніх версіях SLSA, описують рівні захисту від втручання під час або після створення програмного забезпечення. Вимоги Build Track відображають необхідні завдання: створення артефактів, перевірка систем збірки та перевірка артефактів. Майбутні версії інфраструктури базуватимуться на вимогах щодо вирішення інших аспектів життєвого циклу доставки програмного забезпечення.

Збірка L1 вказує на походження, показуючи, як був створений пакет; Збірка L2 вказує на підписане походження, згенероване розміщеною службою побудови; і Build L3 вказує на те, що службу збірки було посилено.

Чим вищий рівень, тим вище впевненість у тому, що пакет можна відстежити до джерела, і він не був підроблений, повідомляє OpenSSF.

Безпека ланцюжка поставок програмного забезпечення є ключовим компонентом адміністрації Байдена Національна стратегія кібербезпеки США, оскільки це змушує постачальників програмного забезпечення брати на себе більшу відповідальність за безпеку своїх продуктів. А нещодавно 10 державних установ із семи країн (Австралії, Канади, Німеччини, Нідерландів, Нової Зеландії, Сполученого Королівства та Сполучених Штатів) випустили нові рекомендації,Зміщення балансу ризиків кібербезпеки: принципи та підходи до безпеки за проектом і за замовчуванням”, щоб закликати розробників програмного забезпечення вжити необхідних заходів, щоб гарантувати, що вони постачають продукти, які є безпечними як за проектом, так і за замовчуванням. Це означає видалення паролів за замовчуванням, створення безпечніших мов програмування та встановлення програм розкриття вразливостей для звітування про недоліки.

У рамках забезпечення безпеки ланцюга постачання програмного забезпечення команди безпеки повинні взаємодіяти з розробниками, щоб навчити їх безпечним методам кодування та адаптувати навчання з питань безпеки, щоб врахувати ризики, пов’язані з життєвим циклом розробки програмного забезпечення.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• джерело: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework