Tổ chức Bảo mật Nguồn Mở (OpenSSF) đã phát hành phiên bản 1.0 của Cấp độ chuỗi cung ứng cho các tạo tác phần mềm (SLSA) với các điều khoản cụ thể cho chuỗi cung ứng phần mềm.
Các nhóm phát triển ứng dụng hiện đại thường xuyên sử dụng lại mã từ các ứng dụng khác và lấy các thành phần mã cũng như công cụ dành cho nhà phát triển từ vô số nguồn. Nghiên cứu từ Snyk và Linux Foundation năm ngoái cho thấy 41% tổ chức không có độ tin cậy cao về bảo mật phần mềm nguồn mở. Với các cuộc tấn công chuỗi cung ứng đặt ra mối đe dọa luôn hiện hữu và ngày càng phát triển, cả nhóm phát triển phần mềm và nhóm bảo mật giờ đây đều nhận ra rằng các thành phần và khung nguồn mở cần phải được bảo mật.
SLSA là dự án tiêu chuẩn bảo mật chuỗi cung ứng hướng đến cộng đồng được hỗ trợ bởi các công ty công nghệ lớn như Google, Intel, Microsoft, VMware và IBM. SLSA tập trung vào việc tăng cường tính nghiêm ngặt về bảo mật trong quá trình phát triển phần mềm. Theo Tổ chức Bảo mật Nguồn Mở, các nhà phát triển có thể tuân theo các hướng dẫn của SLSA để làm cho chuỗi cung ứng phần mềm của họ an toàn hơn và các doanh nghiệp có thể sử dụng SLSA để đưa ra quyết định về việc có nên tin cậy một gói phần mềm hay không.
SLSA cung cấp vốn từ vựng chung để nói về bảo mật chuỗi cung ứng phần mềm; một cách để các nhà phát triển đánh giá các phần phụ thuộc ngược dòng bằng cách đánh giá độ tin cậy của mã nguồn, bản dựng và hình ảnh vùng chứa được sử dụng trong ứng dụng; một danh sách kiểm tra bảo mật có thể áp dụng được; và một cách để đo lường sự tuân thủ với Khung phát triển phần mềm an toàn (SSDF) sắp ra mắt.
Bản phát hành SLSA v1.0 chia các yêu cầu cấp độ của SLSA thành nhiều phần, mỗi phần đo lường một khía cạnh cụ thể của bảo mật chuỗi cung ứng phần mềm. OpenSSF cho biết, các lộ trình mới sẽ giúp người dùng hiểu rõ hơn và giảm thiểu rủi ro liên quan đến chuỗi cung ứng phần mềm, đồng thời cuối cùng là phát triển, trình diễn và sử dụng phần mềm an toàn và đáng tin cậy hơn. SLSA v1.0 cũng cung cấp hướng dẫn rõ ràng hơn về cách xác minh nguồn gốc, cùng với việc thực hiện các thay đổi tương ứng đối với đặc điểm kỹ thuật và định dạng xuất xứ.
Sản phẩm Xây dựng đường đua Cấp 1-3, gần tương ứng với Cấp 1-3 trong các phiên bản SLSA trước đó, mô tả các cấp độ bảo vệ chống giả mạo trong hoặc sau khi xây dựng phần mềm. Các yêu cầu của Build Track phản ánh các nhiệm vụ được yêu cầu: tạo thành phần lạ, xác minh hệ thống xây dựng và xác minh thành phần lạ. Các phiên bản tương lai của khung này sẽ được xây dựng dựa trên các yêu cầu để giải quyết các khía cạnh khác của vòng đời phân phối phần mềm.
Bản dựng L1 cho biết xuất xứ, cho biết gói được xây dựng như thế nào; Bản dựng L2 biểu thị nguồn gốc đã ký, được tạo bởi dịch vụ bản dựng được lưu trữ trên máy chủ; và Build L3 cho biết dịch vụ xây dựng đã được tăng cường.
OpenSSF cho biết cấp độ càng cao thì độ tin cậy rằng một gói có thể được truy ngược về nguồn gốc của nó và không bị giả mạo càng cao.
Bảo mật chuỗi cung ứng phần mềm là một thành phần quan trọng trong chiến lược của chính quyền Biden Chiến lược an ninh mạng quốc gia của Hoa Kỳ, vì nó thúc đẩy các nhà cung cấp phần mềm phải chịu trách nhiệm lớn hơn về tính bảo mật của sản phẩm của họ. Và mới đây, 10 cơ quan chính phủ từ bảy quốc gia (Úc, Canada, Đức, Hà Lan, New Zealand, Vương quốc Anh và Hoa Kỳ) đã đưa ra hướng dẫn mới, “Thay đổi cán cân rủi ro an ninh mạng: Nguyên tắc và phương pháp tiếp cận bảo mật theo thiết kế và mặc định,” để kêu gọi các nhà phát triển phần mềm thực hiện các bước cần thiết để đảm bảo họ đang vận chuyển các sản phẩm vừa an toàn theo thiết kế vừa theo mặc định. Điều đó có nghĩa là xóa mật khẩu mặc định, viết bằng ngôn ngữ lập trình an toàn hơn và thiết lập các chương trình tiết lộ lỗ hổng để báo cáo sai sót.
Là một phần của việc bảo mật chuỗi cung ứng phần mềm, các nhóm bảo mật nên tương tác với các nhà phát triển để hướng dẫn họ về các phương pháp mã hóa bảo mật và điều chỉnh chương trình đào tạo nâng cao nhận thức về bảo mật để bao gồm các rủi ro xung quanh vòng đời phát triển phần mềm.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- : có
- :là
- :không phải
- 10
- 7
- a
- Giới thiệu
- Theo
- địa chỉ
- Thêm
- quản lý
- Sau
- chống lại
- cơ quan
- dọc theo
- Ngoài ra
- an
- và
- Các Ứng Dụng
- Phát triển ứng dụng
- các ứng dụng
- cách tiếp cận
- LÀ
- AS
- khía cạnh
- các khía cạnh
- liên kết
- Các cuộc tấn công
- Châu Úc
- nhận thức
- trở lại
- được hậu thuẫn
- Cân đối
- BE
- được
- Hơn
- Biden
- Quản trị Biden
- cả hai
- xây dựng
- xây dựng
- xây dựng
- by
- CAN
- Canada
- chuỗi
- chuỗi
- Những thay đổi
- mã
- Lập trình
- Chung
- Thúc đẩy cộng đồng
- Các công ty
- tuân thủ
- thành phần
- các thành phần
- sự tự tin
- Container
- Tương ứng
- nước
- An ninh mạng
- chu kỳ
- quyết định
- Mặc định
- giao hàng
- chứng minh
- Thiết kế
- phát triển
- Nhà phát triển
- phát triển
- Phát triển
- công bố thông tin
- suốt trong
- mỗi
- Sớm hơn
- giáo dục
- tương tác
- đảm bảo
- doanh nghiệp
- thành lập
- đánh giá
- sai sót
- tập trung
- theo
- Trong
- định dạng
- sắp tới
- tìm thấy
- Nền tảng
- Khung
- khung
- từ
- tương lai
- tạo ra
- Nước Đức
- Chính phủ
- lớn hơn
- hướng dẫn
- hướng dẫn
- Có
- giúp đỡ
- Cao
- cao hơn
- tổ chức
- Độ đáng tin của
- Hướng dẫn
- HTML
- HTTPS
- IBM
- hình ảnh
- in
- bao gồm
- tăng
- chỉ
- Intel
- trong
- IT
- ITS
- jpg
- Key
- Vương quốc
- L1
- l2
- Ngôn ngữ
- Họ
- Năm ngoái
- Cấp
- niveaux
- Cuộc sống
- linux
- nền tảng linux
- chính
- làm cho
- Làm
- có nghĩa
- đo
- đo lường
- microsoft
- Giảm nhẹ
- chi tiết
- nhiều
- quốc dân
- cần thiết
- Cần
- Nước Hà Lan
- Mới
- New Zealand
- tại
- of
- on
- ONE
- mở
- mã nguồn mở
- or
- tổ chức
- Nền tảng khác
- gói
- một phần
- riêng
- Mật khẩu
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- thực hành
- nguyên tắc
- quá trình
- Sản phẩm
- Lập trình
- ngôn ngữ lập trình
- Khóa Học
- dự án
- bảo vệ
- nguồn gốc
- nhà cung cấp
- cung cấp
- gần đây
- công nhận
- phản ánh
- thường xuyên
- phát hành
- đáng tin cậy
- loại bỏ
- Báo cáo
- cần phải
- Yêu cầu
- nghiên cứu
- trách nhiệm
- tái sử dụng
- Nguy cơ
- rủi ro
- khoảng
- s
- an toàn hơn
- Nói
- nói
- an toàn
- Bảo mật
- đảm bảo
- an ninh
- Nhận thức an ninh
- dịch vụ
- XNUMX
- Giao Hàng
- nên
- Ký kết
- Phần mềm
- Nhà phát triển phần mềm
- phát triển phần mềm
- nguồn
- mã nguồn
- nguồn
- riêng
- đặc điểm kỹ thuật
- tiêu chuẩn
- Bang
- Các bước
- Chiến lược
- như vậy
- cung cấp
- chuỗi cung ứng
- Chuỗi cung ứng
- Xung quanh
- hệ thống
- Hãy
- Thảo luận
- nhiệm vụ
- đội
- Công nghệ
- công ty công nghệ
- việc này
- Sản phẩm
- Hà Lan
- vương quốc Anh
- cung cấp their dịch
- Them
- họ
- mối đe dọa
- đến
- công cụ
- theo dõi
- Hội thảo
- NIỀM TIN
- Cuối cùng
- hiểu
- Kỳ
- Vương quốc Anh
- Hoa Kỳ
- sử dụng
- đã sử dụng
- Người sử dụng
- v1
- xác minh
- xác minh
- vmware
- dễ bị tổn thương
- là
- Đường..
- liệu
- cái nào
- sẽ
- với
- ở trong
- viết
- năm
- Zealand
- zephyrnet