Open Source Security Foundation (OpenSSF) випустив версію 1.0 Supply-chain Levels for Software Artifacts (SLSA) із спеціальними положеннями для ланцюга постачання програмного забезпечення.
Сучасні команди розробників програм регулярно повторно використовують код з інших програм і беруть компоненти коду та інструменти розробника з безлічі джерел. Минулорічні дослідження Snyk і Linux Foundation показали, що 41% організацій не мав високої впевненості в безпеці програмного забезпечення з відкритим кодом. Оскільки атаки на ланцюги поставок становлять постійну загрозу, яка постійно розвивається, і групи розробників програмного забезпечення, і групи безпеки тепер усвідомлюють, що компоненти та інфраструктури з відкритим кодом необхідно захищати.
SLSA — це проект стандартів безпеки ланцюга поставок, керований спільнотою, який підтримується великими технологічними компаніями, такими як Google, Intel, Microsoft, VMware та IBM. SLSA зосереджується на посиленні безпеки в процесі розробки програмного забезпечення. Згідно з Open Source Security Foundation, розробники можуть дотримуватися вказівок SLSA, щоб зробити свій ланцюжок постачання програмного забезпечення більш безпечним, а підприємства можуть використовувати SLSA для прийняття рішень про те, чи варто довіряти програмному пакету.
SLSA надає загальний словниковий запас, щоб говорити про безпеку ланцюжка поставок програмного забезпечення; спосіб для розробників оцінити залежності вихідного потоку шляхом оцінки надійності вихідного коду, збірок і зображень контейнерів, що використовуються в програмі; дієвий контрольний список безпеки; а також спосіб вимірювання відповідності майбутнім Secure Software Development Framework (SSDF).
Випуск SLSA v1.0 розділяє вимоги до рівня SLSA на кілька напрямків, кожен з яких вимірює окремий аспект безпеки ланцюга постачання програмного забезпечення. Нові треки допоможуть користувачам краще зрозуміти та зменшити ризики, пов’язані з ланцюгами постачання програмного забезпечення, і, зрештою, розробити, продемонструвати та використовувати більш безпечне та надійне програмне забезпечення, зазначає OpenSSF. SLSA v1.0 також надає більш чіткі вказівки щодо того, як перевірити походження, разом із внесенням відповідних змін до специфікації та формату походження.
Команда Build Track Рівні 1-3, які приблизно відповідають рівням 1-3 у попередніх версіях SLSA, описують рівні захисту від втручання під час або після створення програмного забезпечення. Вимоги Build Track відображають необхідні завдання: створення артефактів, перевірка систем збірки та перевірка артефактів. Майбутні версії інфраструктури базуватимуться на вимогах щодо вирішення інших аспектів життєвого циклу доставки програмного забезпечення.
Збірка L1 вказує на походження, показуючи, як був створений пакет; Збірка L2 вказує на підписане походження, згенероване розміщеною службою побудови; і Build L3 вказує на те, що службу збірки було посилено.
Чим вищий рівень, тим вище впевненість у тому, що пакет можна відстежити до джерела, і він не був підроблений, повідомляє OpenSSF.
Безпека ланцюжка поставок програмного забезпечення є ключовим компонентом адміністрації Байдена Національна стратегія кібербезпеки США, оскільки це змушує постачальників програмного забезпечення брати на себе більшу відповідальність за безпеку своїх продуктів. А нещодавно 10 державних установ із семи країн (Австралії, Канади, Німеччини, Нідерландів, Нової Зеландії, Сполученого Королівства та Сполучених Штатів) випустили нові рекомендації,Зміщення балансу ризиків кібербезпеки: принципи та підходи до безпеки за проектом і за замовчуванням”, щоб закликати розробників програмного забезпечення вжити необхідних заходів, щоб гарантувати, що вони постачають продукти, які є безпечними як за проектом, так і за замовчуванням. Це означає видалення паролів за замовчуванням, створення безпечніших мов програмування та встановлення програм розкриття вразливостей для звітування про недоліки.
У рамках забезпечення безпеки ланцюга постачання програмного забезпечення команди безпеки повинні взаємодіяти з розробниками, щоб навчити їх безпечним методам кодування та адаптувати навчання з питань безпеки, щоб врахувати ризики, пов’язані з життєвим циклом розробки програмного забезпечення.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- джерело: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- : має
- :є
- : ні
- 10
- 7
- a
- МЕНЮ
- За
- адреса
- Додає
- адміністрація
- після
- проти
- агентства
- по
- Також
- an
- та
- додаток
- Розробка додатка
- застосування
- підходи
- ЕСТЬ
- AS
- зовнішній вигляд
- аспекти
- асоційований
- нападки
- Австралія
- обізнаність
- назад
- підтриманий
- Balance
- BE
- було
- Краще
- біден
- Адміністрація Байдена
- обидва
- будувати
- Будує
- побудований
- by
- CAN
- Канада
- ланцюг
- ланцюга
- Зміни
- код
- Кодування
- загальний
- Спільнота
- Компанії
- дотримання
- компонент
- Компоненти
- довіра
- Контейнер
- Відповідний
- країни
- Кібербезпека
- цикл
- рішення
- дефолт
- доставка
- демонструвати
- дизайн
- розвивати
- Розробник
- розробників
- розробка
- розкриття
- під час
- кожен
- Раніше
- виховувати
- залучення
- забезпечувати
- підприємств
- налагодження
- оцінки
- недоліки
- фокусується
- стежити
- для
- формат
- майбутній
- знайдений
- фонд
- Рамки
- каркаси
- від
- майбутнє
- генерується
- Німеччина
- Уряд
- великий
- керівництво
- керівні вказівки
- Мати
- допомога
- Високий
- вище
- відбувся
- Як
- How To
- HTML
- HTTPS
- IBM
- зображень
- in
- включати
- зростаючий
- вказує
- Intel
- в
- IT
- ЙОГО
- JPG
- ключ
- Царство
- L1
- l2
- мови
- останній
- Минулого року
- рівень
- рівні
- життя
- Linux
- основи linux
- основний
- зробити
- Робить
- засоби
- вимір
- вимір
- Microsoft
- Пом'якшити
- більше
- множинний
- National
- необхідно
- Необхідність
- Нідерланди
- Нові
- Нова Зеландія
- зараз
- of
- on
- ONE
- відкрити
- з відкритим вихідним кодом
- or
- організації
- Інше
- пакет
- частина
- приватність
- Паролі
- plato
- Інформація про дані Платона
- PlatoData
- практики
- Принципи
- процес
- Продукти
- Програмування
- мови програмування
- програми
- проект
- захист
- походження
- провайдери
- забезпечує
- нещодавно
- визнавати
- відображати
- регулярно
- випущений
- надійний
- видалення
- Звітність
- вимагається
- Вимога
- дослідження
- відповідальність
- знову використовувати
- Risk
- ризики
- грубо
- s
- безпечніше
- Зазначений
- говорить
- безпечний
- Забезпечений
- забезпечення
- безпеку
- Питання охорони судна
- обслуговування
- сім
- Доставка
- Повинен
- підписаний
- Софтвер
- Розробники ПЗ
- розробка програмного забезпечення
- Source
- вихідні
- Джерела
- конкретний
- специфікація
- стандартів
- Штати
- заходи
- Стратегія
- такі
- поставка
- ланцюжка поставок
- Ланцюги постачання
- Навколо
- Systems
- Приймати
- балаканина
- завдання
- команди
- Технологія
- технологічні компанії
- Що
- Команда
- Нідерланди
- Сполучене Королівство
- їх
- Їх
- вони
- загроза
- до
- інструменти
- трек
- Навчання
- Довіряйте
- Зрештою
- розуміти
- United
- Об'єднане Королівство
- Сполучені Штати
- використання
- використовуваний
- користувачі
- v1
- перевірити
- перевірка
- VMware
- вразливість
- було
- шлях..
- Чи
- який
- волі
- з
- в
- лист
- рік
- Зеландія
- зефірнет