OpenSSF 将软件供应链轨道添加到 SLSA 框架

开源安全基金会 (OpenSSF) 发布了软件制品供应链级别 (SLSA) v1.0，其中包含针对软件供应链的具体规定。

现代应用程序开发团队定期重用其他应用程序的代码，并从无数来源中提取代码组件和开发人员工具。 Snyk 和 Linux 基金会去年的研究发现，41% 的组织 对开源软件安全性没有高度信心. 随着供应链攻击构成一种始终存在且不断发展的威胁，软件开发团队和安全团队现在都认识到需要保护开源组件和框架。

SLSA 是一个社区驱动的供应链安全标准项目，得到了谷歌、英特尔、微软、VMware 和 IBM 等主要技术公司的支持。 SLSA 专注于提高软件开发过程中的安全严谨性。 根据开源安全基金会的说法，开发人员可以遵循 SLSA 的指导方针来使他们的软件供应链更加安全，企业可以使用 SLSA 来决定是否信任某个软件包。

SLSA 提供了一个通用的词汇来谈论软件供应链安全； 开发人员通过评估应用程序中使用的源代码、构建和容器镜像的可信度来评估上游依赖关系的一种方法； 可操作的安全检查表； 以及衡量是否符合即将推出的安全软件开发框架 (SSDF) 的方法。

SLSA v1.0 发布 将 SLSA 的级别要求分为多个轨道，每个轨道测量软件供应链安全的特定方面。 OpenSSF 表示，新的轨道将帮助用户更好地理解和减轻与软件供应链相关的风险，并最终开发、演示和使用更安全可靠的软件。 SLSA v1.0 还提供了关于如何验证出处的更明确的指导，以及对规范和出处格式进行相应的更改。

建立轨道 级别 1-3 大致对应于早期 SLSA 版本中的级别 1-3，描述了在软件构建期间或之后防止篡改的保护级别。 Build Track 要求反映了所需的任务：生成工件、验证构建系统和验证工件。 该框架的未来版本将建立在解决软件交付生命周期其他方面的需求之上。

Build L1 表示出处，显示包是如何构建的； Build L2 表示签名来源，由托管构建服务生成； Build L3 表示构建服务已经加固。

OpenSSF 表示，级别越高，包可以追溯到其来源且未被篡改的信心就越高。

软件供应链安全是拜登政府的关键组成部分 美国国家网络安全战略， 因为它促使软件提供商对其产品的安全性承担更大的责任。 最近，来自七个国家（澳大利亚、加拿大、德国、荷兰、新西兰、英国和美国）的 10 个政府机构发布了新指南，“改变网络安全风险的平衡：设计安全和默认安全的原则和方法”，敦促软件开发商采取必要措施，确保他们交付的产品在设计上和默认情况下都是安全的。 这意味着删除默认密码，使用更安全的编程语言编写，并建立漏洞披露程序以报告缺陷。

作为保护软件供应链安全的一部分，安全团队应该与开发人员合作，对他们进行安全编码实践教育，并定制安全意识培训以包括软件开发生命周期周围的风险。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• Sumber: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework