OSC&R (Açık Yazılım Tedarik Zinciri Saldırı Referansı), yazılım tedarik zinciri güvenlik tehditlerini anlamak ve değerlendirmek için açık bir çerçevedir. Eski ABD NSA Direktörü Amiral Mike Rogers’ın onayını aldı ve şu anda GitHub’da mevcut.
OX Security’nin öncülüğünü yaptığı OSC&R, yazılım tedarik zincirlerinin güvenliğini tehlikeye atmak için saldırganlar tarafından kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) anlamak ve analiz etmek için ortak bir dil ve yapı sağlamak üzere tasarlanmış MITRE benzeri bir çerçevedir. Güvenlik topluluğuna, yazılım tedarik zincirlerini güvence altına alma stratejilerini proaktif olarak değerlendirmek ve çözümleri karşılaştırmak için tek bir referans noktası vermeyi amaçlamaktadır.
OX Security CEO’su Neatsun Ziv, “OSC&R’yi başlattıktan sonra, OSC&R içindeki unsurlar üzerinde çalışan ve katkıda bulunmak isteyen insanlardan gelen e-postalarla boğulduk” dedi. “GitHub’a geçerek ve projeyi katkılara açarak, bu ortak bilgi ve deneyimi tüm güvenlik topluluğunun yararına elde etmeyi umuyoruz. Artık Mike ve Dineshwar’ın da topluluğun bir parçası olması projeye gerçek bir değer katıyor.”
Mike Rogers, “Siber güvenlik bir kedi fare oyunudur” dedi. “Üstün olmak, iyi bir tehdit modeli oluşturmayı gerektirir ve OSC&R, kuruluşların güvenlik gereksinimlerini belirlemesine, güvenlik tehditlerini ve olası güvenlik açıklarını belirlemesine, tehdit ve güvenlik açığı kritikliğini ölçmesine ve iyileştirme yöntemlerine öncelik vermesine olanak tanır.”
Bir yazılım tedarik zinciri güvenlik programı oluşturmak isteyen şirketler için, OSC&R çerçevesi bu çabayı yönlendirmeye yardımcı olabilir. OSC&R, güvenlik ekipleri tarafından mevcut savunmaları değerlendirmek, hangi tehditlere öncelik verilmesi gerektiğini ve mevcut kapsamın bu tehditleri nasıl ele aldığını belirlemek ve ayrıca saldırgan grupların davranışlarını izlemek için kullanılabilir.
OSC&R’nin kurucu üyeleri, güvenlik ekiplerinin saldırı yüzeyini azaltmalarına ve güvenlik stratejilerini güvenle oluşturmalarına yardımcı olma ortak misyonunu paylaşıyor. Eski Microsoft ve Google bulut güvenliği yöneticisi ve OSC&R’nin kurucu üyesi David Cross, “Modern mühendislik ekosisteminin hızı, çeşitliliği ve dinamik doğası, Yazılım Tedarik Zinciri Güvenliği alanını yeniden şekillendirdi” dedi. “OSC&R’de standart hale gelen araçlar, birçok güvenlik stratejisinde genellikle eksik olan süreklilik ve tutarlılık sağlayacaktır.”