Açık Kaynak Güvenlik Vakfı (OpenSSF), yazılım tedarik zinciri için özel hükümler içeren Yazılım Eserleri için Tedarik Zinciri Düzeylerinin (SLSA) v1.0 sürümünü yayımladı.
Modern uygulama geliştirme ekipleri, diğer uygulamalardan gelen kodları düzenli olarak yeniden kullanır ve sayısız kaynaktan kod bileşenleri ve geliştirici araçları çeker. Geçen yıl Snyk ve Linux Foundation tarafından yapılan araştırma, kuruluşların %41’inin açık kaynak yazılım güvenliğine yüksek güveni yoktu. Tedarik zinciri saldırılarının sürekli var olan ve sürekli gelişen bir tehdit oluşturmasıyla, hem yazılım geliştirme ekipleri hem de güvenlik ekipleri artık açık kaynak bileşenlerinin ve çerçevelerinin güvenceye alınması gerektiğinin farkında.
SLSA, Google, Intel, Microsoft, VMware ve IBM gibi büyük teknoloji şirketleri tarafından desteklenen, topluluk odaklı bir tedarik zinciri güvenlik standartları projesidir. SLSA, yazılım geliştirme sürecinde güvenlik titizliğini artırmaya odaklanır. Open Source Security Foundation’a göre geliştiriciler, yazılım tedarik zincirlerini daha güvenli hale getirmek için SLSA’nın yönergelerini izleyebilir ve kuruluşlar bir yazılım paketine güvenip güvenmeme konusunda kararlar almak için SLSA’yı kullanabilir.
SLSA, yazılım tedarik zinciri güvenliği hakkında konuşmak için ortak bir kelime dağarcığı sağlar; geliştiricilerin uygulamada kullanılan kaynak kodun, yapıların ve kapsayıcı görüntülerinin güvenilirliğini değerlendirerek yukarı akış bağımlılıklarını değerlendirmesinin bir yolu; eyleme geçirilebilir bir güvenlik kontrol listesi; ve yakında çıkacak olan Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ile uyumu ölçmenin bir yolu.
SLSA v1.0 sürümü SLSA’nın seviye gereksinimlerini, her biri yazılım tedarik zinciri güvenliğinin belirli bir yönünü ölçen birden çok yola ayırır. OpenSSF, yeni yolların, kullanıcıların yazılım tedarik zincirleriyle ilişkili riskleri daha iyi anlamalarına ve azaltmalarına ve nihayetinde daha güvenli ve güvenilir yazılım geliştirmelerine, göstermelerine ve kullanmalarına yardımcı olacağını söylüyor. SLSA v1.0 ayrıca, spesifikasyon ve kaynak formatında karşılık gelen değişiklikleri yapmanın yanı sıra kaynağın nasıl doğrulanacağı konusunda daha açık rehberlik sağlar.
bu Parça Oluştur Önceki SLSA sürümlerinde kabaca Düzey 1-3’e karşılık gelen Düzey 1-3, yazılım oluşturma sırasında veya sonrasında kurcalamaya karşı koruma düzeylerini açıklar. Yapı İzleme gereksinimleri, gerekli görevleri yansıtır: yapıtlar üretmek, yapı sistemlerini doğrulamak ve yapıtları doğrulamak. Çerçevenin gelecekteki sürümleri, yazılım teslim yaşam döngüsünün diğer yönlerini ele alan gereksinimleri temel alacaktır.
Derleme L1, kaynağı belirtir ve paketin nasıl oluşturulduğunu gösterir; Derleme L2, barındırılan bir derleme hizmeti tarafından oluşturulan imzalı kaynağı belirtir; ve Yapı L3, yapı hizmetinin sağlamlaştırıldığını gösterir.
OpenSSF, seviye ne kadar yüksekse, bir paketin kaynağına kadar izlenebileceğine ve kurcalanmadığına dair güvenin o kadar yüksek olduğunu söyledi.
Yazılım tedarik zinciri güvenliği, Biden yönetiminin temel bir bileşenidir. ABD Ulusal Siber Güvenlik Stratejisi, yazılım sağlayıcılarını ürünlerinin güvenliği için daha fazla sorumluluk üstlenmeye ittiği için. Ve son zamanlarda, yedi ülkeden (Avustralya, Kanada, Almanya, Hollanda, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri) 10 devlet kurumu yeni yönergeler yayınladı, “Siber Güvenlik Riskinin Dengesini Değiştirmek: Tasarıma Göre Güvenlik ve -Varsayılan Güvenlik için İlkeler ve Yaklaşımlar,” yazılım geliştiricilerini hem tasarım hem de varsayılan olarak güvenli ürünler gönderdiklerinden emin olmak için gerekli adımları atmaya teşvik etmek için. Bu, varsayılan parolaları kaldırmak, daha güvenli programlama dillerinde yazmak ve kusurları bildirmek için güvenlik açığı ifşa programları oluşturmak anlamına gelir.
Yazılım tedarik zincirini güvence altına almanın bir parçası olarak, güvenlik ekipleri, geliştiricileri güvenli kodlama uygulamaları hakkında eğitmek ve güvenlik farkındalığı eğitimini yazılım geliştirme yaşam döngüsünü çevreleyen riskleri içerecek şekilde uyarlamak için geliştiricilerle ilişki kurmalıdır.