OpenSSF نے SLSA فریم ورک میں سافٹ ویئر سپلائی چین ٹریکس کو شامل کیا۔

The Open Source Security Foundation (OpenSSF) has released v1.0 of Supply-chain Levels for Software Artifacts (SLSA) with specific provisions for the software supply chain.

Modern application development teams regularly reuse code from other applications and pull code components and developer tools from myriad sources. Research from Snyk and the Linux Foundation last year found that 41% of organizations اوپن سورس سافٹ ویئر سیکیورٹی پر زیادہ اعتماد نہیں تھا۔. سپلائی چین کے حملوں سے ایک ہمیشہ سے موجود اور ہمیشہ سے ابھرتا ہوا خطرہ ہے، سافٹ ویئر ڈویلپمنٹ ٹیمیں اور سیکیورٹی ٹیمیں دونوں اب تسلیم کرتی ہیں کہ اوپن سورس کے اجزاء اور فریم ورک کو محفوظ کرنے کی ضرورت ہے۔

SLSA is a community-driven supply chain security standards project backed by major technology companies, such as Google, Intel, Microsoft, VMware, and IBM. SLSA focuses on increasing security rigor within the software development process. Developers can follow SLSA’s guidelines to make their software supply chain more secure, and enterprises can use SLSA to make decisions about whether to trust a software package, according to the Open Source Security Foundation.

SLSA سافٹ ویئر سپلائی چین سیکیورٹی کے بارے میں بات کرنے کے لیے ایک عام ذخیرہ الفاظ فراہم کرتا ہے۔ ڈویلپرز کے لیے ایپلیکیشن میں استعمال ہونے والے سورس کوڈ، بلڈز، اور کنٹینر امیجز کی بھروسے کا اندازہ لگا کر اپ اسٹریم انحصار کا اندازہ لگانے کا ایک طریقہ؛ ایک قابل عمل سیکورٹی چیک لسٹ؛ اور آنے والے سیکیور سافٹ ویئر ڈویلپمنٹ فریم ورک (SSDF) کے ساتھ تعمیل کی پیمائش کرنے کا ایک طریقہ۔

SLSA v1.0 ریلیز divides SLSA’s level requirements into multiple tracks, each one measuring a particular aspect of software supply chain security. The new tracks will help users better understand and mitigate the risks associated with software supply chains and ultimately develop, demonstrate, and use more secure and reliable software, the OpenSSF says. SLSA v1.0 also provides more explicit guidance on how to verify provenance, along with making corresponding changes to the specification and provenance format.

۔ ٹریک بنائیں Levels 1-3, which roughly correspond to Levels 1-3 in earlier SLSA versions, describes levels of protection against tampering during or after software build. The Build Track requirements reflect the tasks required: producing artifacts, verifying build systems, and verifying artifacts. Future versions of the framework will build on requirements to address other aspects of the software delivery life cycle.

Build L1 indicates provenance, showing how the package was built; Build L2 indicates signed provenance, generated by a hosted build service; and Build L3 indicates the build service has been hardened.

The higher the level, the higher the confidence that a package can be traced back to its source and has not been tampered with, OpenSSF said.

سافٹ ویئر سپلائی چین سیکیورٹی بائیڈن انتظامیہ کا ایک اہم جزو ہے۔ امریکی قومی سائبرسیکیوریٹی حکمت عملی، as it pushes software providers to assume greater responsibility for the security of their products. And recently, 10 government agencies from seven countries (Australia, Canada, Germany, the Netherlands, New Zealand, the United Kingdom, and the United States) released new guidelines, “سائبرسیکیوریٹی رسک کے توازن کو بدلنا: ڈیزائن اور ڈیفالٹ کے لیے سیکیورٹی کے اصول اور طریقہ کار,” to urge software developers to take necessary steps to ensure they are shipping products that are both secure by design and by default. That means removing default passwords, writing in safer programming languages, and establishing vulnerability disclosure programs for reporting flaws.

As part of securing the software supply chain, security teams should be engaging with developers to educate them about secure coding practices and tailoring security awareness training to include the risks surrounding the software development life cycle.

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework