Açık Kaynak Güvenlik Vakfı (OpenSSF), Linux ve diğer açık kaynaklı projeler için güvenlik uygulamalarını standartlaştırmak için tasarlanmış katmanlı bir çerçeve olan Açık Kaynak Proje Güvenlik Baseline (OSPS taban çizgisi) başlattı.
AB Siber Esneklik Yasası (CRA) ve NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi küresel siber güvenlik düzenlemeleri ile uyumlu olan bu girişim, yazılım tedarik zincirlerindeki riskleri azaltmak için eyleme geçirilebilir kontroller sağlar.
OSPS taban çizgisi, gereksinimleri üç olgunluk seviyesine ayırır: yeni ortaya çıkan projeler için seviye 1, birden fazla bakıcıya sahip yerleşik kod tabanları için seviye 2 ve yaygın olarak benimsenen projeler için Seviye 3.
Her bir katman beş alanda ayrıntılı kontroller sunar: erişim kontrolü, oluşturma ve sürüm, belgeler, kalite ve yasal.
Anahtar teknik zorunluluklar şunları içerir:
- Hassas verileri ele alan depo ortak çalışanları için çok faktörlü kimlik doğrulamanın (MFA) uygulanması.
- Güvenlik yamalarını izlemek için sürümler için benzersiz sürüm tanımlayıcıları (örneğin, SEMVER, Calver) gerektirir.
- Değişmez, kamuya açık bir şekilde denetlenemez sürüm kontrol günlüklerini korumak, değişiklikleri ve katkıda bulunanları detaylandırır.
- Güvenilmeyen girişler yoluyla ayrıcalık artışını önlemek için CI/CD boru hatlarını en az ayrı erişimle yapılandırmak.
Christopher Robinson, “OSPS Baseline, proje olgunluğu ile gelişen katmanlı bir çerçeve oluşturarak, bakımcılara ve katkıda bulunanlara ölçeklenebilir ve sürdürülebilir güvenlik uygulamalarını benimsemelerini sağlıyor.”
Binbaşı Linux ekosistem projeleri tarafından benimsenme
Erken benimseyenler, OSPS-VM-04.01’in güvenlik açığı raporlama iş akışlarını uygulayan Guac ve BOMCTL gibi bağımlılık yönetimi araçlarını içerir.
OpenTelemetry, OSPS-BR-05.01’in yapı boru hattı sertleşmesini benimserken, OpenVex OSPS-QA-02.01 başına entegre otomatik SBOM üretimi.
OSPS taban çizgisi pilot çabalarına öncülük ettikten sonra bağımsız açık kaynak topluluk yöneticisi Stacey Potter, “Pilot sunumunda yer alan projelerden, Guac, OpenVex, BOMCTL ve açık telemetriden evlat edinme taahhütleri de dahil olmak üzere yararlı geri bildirimler aldık” dedi.
“Amacımız, tahminleri bundan çıkarmak ve sürdürücülerin ekstra stres eklemeden nerede durdukları konusunda kendinden emin olmalarına yardımcı olmaktır.”
“OSPS temel sürümü, açık kaynak projelerinin güvenliğini ve esnekliğini verimli bir şekilde ele almak için önemli bir adımdır” Eddie Knight, Sonatype ve OSPS Baseline Proje Lideri’nde açık kaynak program ofis lideri.
“Açık kaynaklı görevliler, açık kaynağa güvenen üreticiler ve son kullanıcılar, bu topluluk tanımlı kriterler proje güvenliği en iyi uygulamalarına ışık tuttuğu için uzun vadede fayda sağlayacak.”
Özellikle, Cloud Native Computing Foundation (CNCF), OSPS kontrollerini SLSA tabanlı denetim araçlarına entegre etmeyi planlıyor.
Geliştiriciler OSPS Baseline Spesifikasyonuna Baseline.openssf.org adresinden erişebilir ve #Sig-Security-Baseline OpenSSF Slack kanalı üzerinden katkıda bulunabilir.
Yaklaşan geliştirmeler arasında otomatik uygulama için Ansible Playbook’lar ve SPDX 3.0 profil hizalaması yer alıyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free