开源安全基金会 (OpenSSF) 发布了软件制品供应链级别 (SLSA) v1.0,其中包含针对软件供应链的具体规定。
现代应用程序开发团队定期重用其他应用程序的代码,并从无数来源中提取代码组件和开发人员工具。 Snyk 和 Linux 基金会去年的研究发现,41% 的组织 对开源软件安全性没有高度信心. 随着供应链攻击构成一种始终存在且不断发展的威胁,软件开发团队和安全团队现在都认识到需要保护开源组件和框架。
SLSA 是一个社区驱动的供应链安全标准项目,得到了谷歌、英特尔、微软、VMware 和 IBM 等主要技术公司的支持。 SLSA 专注于提高软件开发过程中的安全严谨性。 根据开源安全基金会的说法,开发人员可以遵循 SLSA 的指导方针来使他们的软件供应链更加安全,企业可以使用 SLSA 来决定是否信任某个软件包。
SLSA 提供了一个通用的词汇来谈论软件供应链安全; 开发人员通过评估应用程序中使用的源代码、构建和容器镜像的可信度来评估上游依赖关系的一种方法; 可操作的安全检查表; 以及衡量是否符合即将推出的安全软件开发框架 (SSDF) 的方法。
SLSA v1.0 发布 将 SLSA 的级别要求分为多个轨道,每个轨道测量软件供应链安全的特定方面。 OpenSSF 表示,新的轨道将帮助用户更好地理解和减轻与软件供应链相关的风险,并最终开发、演示和使用更安全可靠的软件。 SLSA v1.0 还提供了关于如何验证出处的更明确的指导,以及对规范和出处格式进行相应的更改。
建立轨道 级别 1-3 大致对应于早期 SLSA 版本中的级别 1-3,描述了在软件构建期间或之后防止篡改的保护级别。 Build Track 要求反映了所需的任务:生成工件、验证构建系统和验证工件。 该框架的未来版本将建立在解决软件交付生命周期其他方面的需求之上。
Build L1 表示出处,显示包是如何构建的; Build L2 表示签名来源,由托管构建服务生成; Build L3 表示构建服务已经加固。
OpenSSF 表示,级别越高,包可以追溯到其来源且未被篡改的信心就越高。
软件供应链安全是拜登政府的关键组成部分 美国国家网络安全战略, 因为它促使软件提供商对其产品的安全性承担更大的责任。 最近,来自七个国家(澳大利亚、加拿大、德国、荷兰、新西兰、英国和美国)的 10 个政府机构发布了新指南,“改变网络安全风险的平衡:设计安全和默认安全的原则和方法”,敦促软件开发商采取必要措施,确保他们交付的产品在设计上和默认情况下都是安全的。 这意味着删除默认密码,使用更安全的编程语言编写,并建立漏洞披露程序以报告缺陷。
作为保护软件供应链安全的一部分,安全团队应该与开发人员合作,对他们进行安全编码实践教育,并定制安全意识培训以包括软件开发生命周期周围的风险。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://www.darkreading.com/dr-tech/openssf-adds-software-supply-chain-tracks-to-slsa-framework
- :具有
- :是
- :不是
- 10
- 7
- a
- 关于
- 根据
- 地址
- 添加
- 管理
- 后
- 驳
- 机构
- 沿
- 还
- an
- 和
- 应用领域
- 应用程序开发
- 应用领域
- 方法
- 保健
- AS
- 方面
- 方面
- 相关
- 攻击
- 澳大利亚
- 意识
- 背部
- 已备份
- 当前余额
- BE
- 很
- 更好
- 拜登
- 拜登政府
- 都
- 建立
- 建立
- 建
- by
- CAN
- 加拿大
- 链
- 链
- 更改
- 码
- 编码
- 相当常见
- 社区驱动
- 公司
- 符合
- 元件
- 组件
- 信心
- 容器
- 相应
- 国家
- 网络安全
- 周期
- 决定
- 默认
- 交货
- 演示
- 设计
- 开发
- 开发商
- 开发
- 研发支持
- 泄露
- ,我们将参加
- 每
- 此前
- 教育
- 从事
- 确保
- 企业
- 建立
- 评估
- 缺陷
- 重点
- 遵循
- 针对
- 格式
- 即将到来
- 发现
- 基金会
- 骨架
- 框架
- 止
- 未来
- 产生
- 德国
- 谷歌
- 政府
- 更大的
- 指导
- 方针
- 有
- 帮助
- 高
- 更高
- 托管
- 创新中心
- How To
- HTML
- HTTPS
- IBM
- 图片
- in
- 包括
- 增加
- 表示
- 英特尔
- 成
- IT
- 它的
- JPG
- 键
- 神的国
- L1
- l2
- 语言
- 名:
- 去年
- Level
- 各级
- 生活
- Linux的
- linux基金会
- 主要
- 使
- 制作
- 手段
- 衡量
- 测量
- 微软
- 减轻
- 更多
- 多
- National
- 必要
- 需求
- 荷兰
- 全新
- 新西兰
- 现在
- of
- on
- 一
- 打开
- 开放源码
- or
- 组织
- 其他名称
- 包
- 部分
- 特别
- 密码
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 做法
- 原则
- 过程
- 核心产品
- 代码编程
- 编程语言
- 训练课程
- 项目
- 保护
- 出处
- 供应商
- 提供
- 最近
- 承认
- 反映
- 经常
- 发布
- 可靠
- 删除
- 报告
- 必须
- 岗位要求
- 研究
- 责任
- 重用
- 风险
- 风险
- περίπου
- s
- 更安全
- 说
- 说
- 安全
- 担保
- 保障
- 保安
- 安全意识
- 服务
- XNUMX所
- 配送服务
- 应该
- 签
- 软件
- 软件开发者
- 软件开发
- 来源
- 源代码
- 来源
- 具体的
- 规范
- 标准
- 州
- 步骤
- 策略
- 这样
- 供应
- 供应链
- 供应链
- 周围
- 产品
- 采取
- 谈论
- 任务
- 队
- 专业技术
- 科技公司
- 这
- 荷兰人
- 英国
- 其
- 他们
- 他们
- 威胁
- 至
- 工具
- 跟踪时
- 产品培训
- 信任
- 最终
- 理解
- 联合的
- 英国
- 美国
- 使用
- 用过的
- 用户
- v1
- 确认
- 验证
- VMware的
- 漏洞
- 是
- 方法..
- 是否
- 这
- 将
- 中
- 写作
- 年
- 新西兰
- 和风网