Açık Kaynak Güvenlik Vakfı (OpenSSF), yazılım tedarik zinciri için özel hükümler içeren Yazılım Eserleri için Tedarik Zinciri Düzeylerinin (SLSA) v1.0 sürümünü yayımladı.
Modern uygulama geliştirme ekipleri, diğer uygulamalardan gelen kodları düzenli olarak yeniden kullanır ve sayısız kaynaktan kod bileşenleri ve geliştirici araçları çeker. Snyk ve Linux Vakfı’nın geçen yıl yaptığı araştırma, kuruluşların %41’inin açık kaynak yazılım güvenliğine fazla güvenmediğini ortaya koydu. Tedarik zinciri saldırılarının sürekli var olan ve sürekli gelişen bir tehdit oluşturmasıyla, hem yazılım geliştirme ekipleri hem de güvenlik ekipleri artık açık kaynak bileşenlerinin ve çerçevelerinin güvenceye alınması gerektiğinin farkında.
SLSA, Google, Intel, Microsoft, VMware ve IBM gibi büyük teknoloji şirketleri tarafından desteklenen, topluluk odaklı bir tedarik zinciri güvenlik standartları projesidir. SLSA, yazılım geliştirme sürecinde güvenlik titizliğini artırmaya odaklanır. Open Source Security Foundation’a göre geliştiriciler, yazılım tedarik zincirlerini daha güvenli hale getirmek için SLSA’nın yönergelerini izleyebilir ve kuruluşlar bir yazılım paketine güvenip güvenmeme konusunda kararlar almak için SLSA’yı kullanabilir.
SLSA, yazılım tedarik zinciri güvenliği hakkında konuşmak için ortak bir kelime dağarcığı sağlar; geliştiricilerin uygulamada kullanılan kaynak kodun, yapıların ve kapsayıcı görüntülerinin güvenilirliğini değerlendirerek yukarı akış bağımlılıklarını değerlendirmesinin bir yolu; eyleme geçirilebilir bir güvenlik kontrol listesi; ve yakında çıkacak olan Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ile uyumu ölçmenin bir yolu.
SLSA v1.0 sürümü, SLSA’nın seviye gereksinimlerini, her biri yazılım tedarik zinciri güvenliğinin belirli bir yönünü ölçen birden çok yola ayırır. OpenSSF, yeni yolların, kullanıcıların yazılım tedarik zincirleriyle ilişkili riskleri daha iyi anlamalarına ve azaltmalarına ve nihayetinde daha güvenli ve güvenilir yazılım geliştirmelerine, göstermelerine ve kullanmalarına yardımcı olacağını söylüyor. SLSA v1.0 ayrıca, spesifikasyon ve kaynak formatında karşılık gelen değişiklikleri yapmanın yanı sıra kaynağın nasıl doğrulanacağı konusunda daha açık rehberlik sağlar.
Daha önceki SLSA sürümlerinde kabaca Düzey 1-3’e karşılık gelen Yapı İzleme Düzeyleri 1-3, yazılım oluşturma sırasında veya sonrasında kurcalamaya karşı koruma düzeylerini açıklar. Yapı İzleme gereksinimleri, gerekli görevleri yansıtır: yapıtlar üretmek, yapı sistemlerini doğrulamak ve yapıtları doğrulamak. Çerçevenin gelecekteki sürümleri, yazılım teslim yaşam döngüsünün diğer yönlerini ele alan gereksinimleri temel alacaktır.
Derleme L1, kaynağı belirtir ve paketin nasıl oluşturulduğunu gösterir; Derleme L2, barındırılan bir derleme hizmeti tarafından oluşturulan imzalı kaynağı belirtir; ve Yapı L3, yapı hizmetinin sağlamlaştırıldığını gösterir.
OpenSSF, seviye ne kadar yüksekse, bir paketin kaynağına kadar izlenebileceğine ve kurcalanmadığına dair güvenin o kadar yüksek olduğunu söyledi.
Yazılım tedarik zinciri güvenliği, yazılım sağlayıcılarını ürünlerinin güvenliği için daha fazla sorumluluk üstlenmeye ittiği için Biden yönetiminin ABD Ulusal Siber Güvenlik Stratejisinin önemli bir bileşenidir. Ve son zamanlarda, yedi ülkeden (Avustralya, Kanada, Almanya, Hollanda, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri) 10 devlet kurumu, “Siber Güvenlik Riskinin Dengesini Değiştirmek: Güvenlik için İlkeler ve Yaklaşımlar-by” adlı yeni yönergeler yayınladı. -Tasarım ve -Varsayılan”, yazılım geliştiricileri hem tasarım hem de varsayılan olarak güvenli ürünler gönderdiklerinden emin olmak için gerekli adımları atmaya teşvik eder. Bu, varsayılan parolaları kaldırmak, daha güvenli programlama dillerinde yazmak ve kusurları bildirmek için güvenlik açığı açıklama programları oluşturmak anlamına gelir.
Yazılım tedarik zincirini güvence altına almanın bir parçası olarak, güvenlik ekipleri, geliştiricileri güvenli kodlama uygulamaları hakkında eğitmek ve güvenlik farkındalığı eğitimini yazılım geliştirme yaşam döngüsünü çevreleyen riskleri içerecek şekilde uyarlamak için geliştiricilerle ilişki kurmalıdır.