A szoftver-ellátási lánc biztonságának javítását célzó keretrendszer stabil kiadása segít megvédeni a fejlesztéseket az ellátási lánc támadásaival szemben.
Elöljáróban, hogy mindenki értse, miről van szó: A rendszerekkel és szoftverekkel (végső soron a végfelhasználóval) szemben növekvő fenyegetések és kitettségek egyre nagyobb kihívást jelentenek a fejlesztők számára is. A szoftver a végfelhasználóhoz ellátási láncon keresztül jut el. Ebből a végfelhasználó csak annyit lát, hogy letölthető a program a szoftverközpontból, a Play áruházból, a Microsoft store-ból, stb. helyről. Ezek a központi tárhelyek ellenőrzik / auditálják a szoftvert, mennyire csak tudják, mielőtt közretennék. Azonban a mód, ahol a fejlesztőktől eljut a program a központi tárhelyre több lépcsős:
Fejlesztő közzé teszi a forráskódot -ez egy lépés, és a fejlesztőtől a közzététel helyéig van egy támadható átviteli közeg. A közzététel után jön a fordítás, függőségek kapcsolása – ez az építési folyamat kompromittálódhat a fordító által, de a függőségek is lehetnek kompromittálva. Ha összeállt a csomag akkor felkerül a tárhelyre ez is egy átviteli közegen történik, ami kockázatos lehet, majd innen lekerül a végfelhasználóhoz, ami szintén átviteli közegen történik.
Jelenleg csak egy helyen, a letöltő központban történik ellenőrzés. A SLSA arról szól, hogy a teljes átviteli láncon minden lépés után több lépcsős biztonsági ellenőrzés folyamatát szabályozza.
SAN FRANCISCO, CA, 2023. április 19. – Az Open Source Security Foundation (OpenSSF) büszkén jelenti be a Supply-chain Levels for Software Artifacts (SLSA , ejtsd: „salsa”) 1.0-s verziójának kiadását. Az SLSA egy OpenSSF projekt, amely a szoftver-ellátási lánc biztonságára vonatkozó specifikációkat ad közösségi szakértői konszenzussal. Az SLSA keretrendszere a növekvő biztonsági szigort leíró szintekbe van felszerelve, és megbizonyosodik arról, hogy a szoftvereket nem manipulálták, és biztonságosan vissza lehet vezetni a forrásig. Az SLSA egy olyan ellátási lánc biztonsági kodifikácója, amelyet mindenki használhat, hogy segítsen azonosítani, milyen szinten tart a szoftver, és hogyan érheti el a biztonsági helyezését.
„Az OpenSSF keményen dolgozik azon, hogy szigorúbbá tegye a szoftverfejlesztési folyamatot” – mondta Brian Behlendorf, az OpenSSF vezérigazgatója. „Az SLSA v1.0 stabil kiadása fontos mérföldkő a szoftverellátási lánc biztonságának javításában és a szervezetek számára a szoftvereik védelméhez szükséges eszközök biztosításában.”
Az ellátási lánc támadásai állandóan jelenlévő fenyegetést jelentenek, és a szoftverek létrehozásának és terjesztésének gyenge pontjait kihasználva megzavarják azt. Az SLSA keretrendszert biztosít a forráskódok biztosítására és a rendszer manipulálásának megakadályozására. Az SLSA által meghatározott specifikáció a szoftvergyártók és a fogyasztók számára egyaránt hasznos: a gyártók követhetik az SLSA irányelveit, hogy biztonságosabbá tegyék szoftverellátási láncukat, a fogyasztók pedig az SLSA segítségével dönthetnek arról, hogy megbíznak-e egy szoftvercsomagban.
Az SLSA a következőket kínálja:
-
A szoftverellátási lánc biztonságáról szóló általános követelmény rendszer
-
Egy módja annak, hogy felmérje az upstream függőségeit az Ön által felhasznált alkotások (például forráskód, buildek és tárolóképek) megbízhatóságának értékelésével
-
Egy használható ellenőrző lista saját szoftvere biztonságának javításához
-
A Secure Software Development Framework (SSDF) küszöbön álló Executive Order szabványainak való megfelelés érdekében tett erőfeszítéseinek mérésének módja.
Az SLSA célja egy átfogó, adaptálható keretrendszer létrehozása, amely a szoftver-ellátási lánc biztonságának kritikus részeit kezeli. Az SLSA v1.0 kiadása jelentős koncepcionális változást hoz az SLSA szintű követelmények több sávra való felosztásában, amelyek mindegyike a szoftverellátási lánc egy-egy területére összpontosít, például a felépítésre, a forrásra és a függőségekre. Korábban egyetlen sáv volt, de ez az új felosztás megkönnyíti az SLSA átvételét a felhasználók számára. Az SLSA v1.0 a Build Track-vel kezdődik, amely szilárd alapot teremt a keretrendszer bővítéséhez, hogy a szoftverszállítási életciklus egyéb kritikus vonatkozásait is kezelni lehessen. Az SLSA Tracks segít a végfelhasználóknak, legyenek azok nyílt forráskódú projektkarbantartók vagy vállalatok, jobban megértsék és mérsékeljék a szoftver-ellátási láncokkal kapcsolatos kockázatokat, és végső soron biztonságosabb és megbízhatóbb szoftvereket fejlesszenek ki.
Az SLSA alkalmazása számos előnnyel jár:
-
Szoftvergyártók, például egy szoftverszállító vagy egy csapat, amely saját kódot ír ugyanazon a cégen belüli használatra. Az SLSA védelmet nyújt a fogyasztók számára az ellátási lánc mentén történő manipulálás ellen, csökkentve a bennfentesek kockázatát, és növelve a bizalmat abban, hogy az Ön által gyártott szoftver a kívánt módon jut el a fogyasztókhoz. A nyílt forráskódú projektek és ökoszisztémák esetében az SLSA keretrendszert biztosít annak bizonyítására, hogy a kiadások olyan forráskódot és függőségeket tartalmaznak, amelyeket nem módosítottak. Mivel sok nyílt forráskódú projekt önkéntes irányítása alatt áll, rendelkezésre állnak olyan eszközök, amelyekkel egyszerűen hozzáadhatja az SLSA-t a meglévő projektekhez.
-
Szoftverfogyasztók, például nyílt forráskódú csomagokat használó fejlesztőcsapat, szállított szoftvereket használó kormányzati hivatal vagy szervezeti kockázatot bíráló CISO számára a SLSA módot ad arra, hogy megítélje az Ön által használt szoftver biztonsági gyakorlatát, és megbizonyosodjon arról, hogy amit kap, az megfelel az elvárásoknak.
-
Infrastruktúra-szolgáltatók, akik infrastruktúrát biztosítanak, például ökoszisztéma-csomagkezelőt, összeállítási platformot vagy CI/CD-rendszert: A gyártók és a fogyasztók közötti hídként az SLSA elfogadása biztonságos szoftverellátási láncot tesz lehetővé köztük.
Az SLSA 1.0 Build Track stabil kiadása csökkenti a fejlesztések előtti belépési korlátot, segít az összeállítás fejlesztésére összpontosítani, és csökkenti annak esélyét, hogy az ellátási lánc nagy részén előállható negatív következményeket.
Az SLSA használatának megkezdéséhez látogasson el a https://slsa.dev/ oldalra .
Közreműködő vállalati kommentek
ActiveState
A fejlesztés során nem tudod optimalizálni azt, amit nem tudsz mérni, és ezért izgalmas az SLSA; auditálható adatokat biztosít géppel olvasható formában, amely érvényesíti a felügyeleti láncot a kódszerzőktől az éles rendszerekben telepített binárisokig. Megadja számunkra az érzékeny működési környezetekben használt binárisok eredetét, így megalapozott döntéseket hozhatunk arról, hogy megbízunk-e vagy sem, és beépítünk-e bizonyos csomagokat a buildekbe. Ezek az alapkövetelmények ahhoz, hogy ténylegesen elérjük azt, ami eddig nagyrészt csak felkapott kifejezés volt, az ellátási lánc biztonsága. Az ActiveState-nél megkönnyítjük a technikai csapatok számára az SLSA bevezetését azáltal, hogy lehetővé tesszük ügyfeleink számára, hogy azonosítsák és megbízhassanak a legteljesebb származású jóhiszemű összetevőkkel, amelyek automatikusan elérhetők a platformunkon tanúsítványként és SBOM-ként.
– Scott Robertson, műszaki igazgató, ActiveState.
Chainguard
Az SLSA fejlődése az eredeti koncepciónk 2021-es bemutatása óta figyelemreméltó volt, és az egyik leginkább hozzáférhető keretrendszer a szoftverellátási lánc biztonsági gyakorlatainak megvalósításához. Az SLSA v1.0 kiadása jelentős előrelépést jelent a szoftverfogyasztók és -gyártók közötti bizalom kiépítésében, mivel egy jól bevált keretrendszert biztosít, amely felvázolja a szoftverek védelmét és fejlesztését a szoftverellátási lánc biztonsági elvei alapján. A Chainguardnál a SLSA kritikus iparági szabványként való fejlesztésébe fektetünk be, miközben betartjuk annak alapelveit, hogy biztosítsuk kínálatunk és az általunk fenntartott nyílt forráskódú közösségi projektek integritását. Támogatjuk az OpenSSF folyamatos erőfeszítéseit az SLSA továbbfejlesztésére, lehetővé téve több szervezetnek és közösségi projektnek, hogy elérje biztonsági céljait.
– Kim Lewandowski, a Chainguard termékosztályának vezetője és társalapítója.
Az SLSA 1.0 jelentős mérföldkő a szoftverellátási láncaink biztonságossá tételéhez vezető úton. Ez a nyílt forráskódú közösséggel folytatott kétéves együttműködés csúcspontja, és a Google tapasztalataira épít a termelési munkaterhelés egy évtizedes védelmében. Az SLSA közös keretet biztosít a szoftverellátási láncok biztonságának felméréséhez, és segít a szervezeteknek tájékozott döntéseket hozni az általuk használt szoftverekkel kapcsolatban. Izgatottan várom, hogy az SLSA milyen hatással lesz szoftverellátási láncaink biztonságára.
– Abhishek Arya, mérnöki igazgató, a Google nyílt forráskódú biztonsági csapata.
IBM
Az IBM-nél a nyílt innováció erejébe vetett hit vezérli jelenlegi tevékenységeinket és jövőbeli terveinket. Ez az oka annak, hogy aktívan hozzájárulunk a Supply chain Levels for Software Artifacts (SLSA) v1.0 specifikációjához. Azáltal, hogy nyíltan együttműködünk az OpenSSF közösséggel a felépítési integritás egyértelműségének, a csomagok konzisztenciájának és a nagyarányú adaptálhatóságának biztosítása érdekében, biztosak vagyunk abban, hogy ez a keretrendszer segíteni fog a szoftverfejlesztőknek a manipuláció korlátozásában, az integritás javításában, valamint a csomagok és infrastruktúra biztonságosabbá tételében a szoftverellátó láncokban.
– Jamie Thomas, az IBM infrastruktúra-stratégiáért és fejlesztéséért felelős vezérigazgatója.
Intel
Napjaink összekapcsolt világában a szoftverellátási lánc biztonsága kulcsfontosságú az általunk használt szoftverek biztonságának és megbízhatóságának biztosításához. A szoftverrendszerek növekvő összetettsége és kölcsönös függése miatt a szoftverellátási láncban bekövetkező bármilyen kompromisszum súlyos következményekkel járhat az egyénekre, a szervezetekre és a társadalomra nézve. Az SLSA jelentős mérföldkő ennek a közös keretrendszernek a felépítésében, amelynek célja egy nagyon valós és nehezen kezelhető probléma megoldása. Örülök, hogy az SLSA olyan közös alap, amely lehetővé teszi a szoftvergazdaság újrafelhasználhatóságát és kompozícióját egy megbízható szoftverellátási lánc alappal.
– Bruno Domingues, műszaki igazgató – globális pénzügyi szolgáltatások és vezető mérnök, Intel.
Kusari
Az SLSA irányítóbizottságának tagjaként nagyon örülök az SLSA 1.0 megjelenésének. Ez a mérföldkő az SLSA, az OpenSSF és a szélesebb körű nyílt forráskódú biztonsági közösség együttes erőfeszítéseit jelzi egy olyan kritikus keretrendszer létrehozásában, amely javítja szoftverellátási láncaink biztonságát. A Kusarinál elkötelezettek vagyunk amellett, hogy az SLSA-t a kiberbiztonsági elképzelés kulcsfontosságú elemeként elfogadjuk és népszerűsítsük. Együtt hajtjuk az innovációt, miközben óvjuk a mindannyiunk által használt technológia jövőjét.
– Michael Lieberman, CTO, Kusari.
Microsoft
Az OpenSSF aktív tagja és közreműködője lehetővé teszi a Microsoft számára, hogy a bolygó minden személyét és szervezetét képessé tegye arra, hogy többet… biztonságosan tegyen... Az OpenSSF Supply chain Levels for Software Artifacts (SLSA) v1.0 Build Track programjához való hozzájárulással a valódi partnerséget szem előtt tartva megmutatkozik elkötelezettségünk a program iránt és a biztonságosabb tevékenységre. Az OpenSSF-fel nyíltan kifejlesztett fogyasztóközpontú Secure Supply Chain Consumption Framework-vel (S2C2F) együtt a gyártó-központú SLSA megjelenése bizonyítja, hogy mit lehet elérni, ha összefogunk egy a maga nemében első együttműködő és megbízható keretrendszer érdekében. Ezzel az együttműködéssel a legkorszerűbb és leginkább méretezhető biztonsági ellenőrzéseket és érettségi szinteket tudjuk előállítani, amelyek erősítik szoftvereink és ellátási láncunk biztonságát.
– Mark Russinovich, az Azure műszaki igazgatója és műszaki munkatársa, a Microsoft.
Red Hat
A Red Hatnél tisztában vagyunk azzal, hogy a termékbiztonság minden méretű vállalat számára bonyolult probléma lehet. Ezért elkötelezettek vagyunk az egyszerűsítés mellett az olyan kezdeményezések támogatásával, mint az SLSA és az OpenSSF. Hiszünk abban, hogy az átláthatóság elengedhetetlen ügyfeleink érdekeinek védelmében. Ahogy továbbra is az ellátási lánc biztonságával kapcsolatos céljainkat követjük, az SLSA-t és más iparági szabványokat fogjuk használni, hogy ügyfeleink számára nagyobb rálátást biztosítsunk biztonsági kezdeményezéseinkre. Nyílt forráskódú vállalatként nagyra értékeljük az együttműködést, és az SLSA tökéletes példa arra, hogy mit lehet elérni, ha az emberek összefognak, hogy széles körben elfogadott kritériumokat hozzanak létre a szoftverbiztonság erősítésére.
– Emmy Eide, igazgató, Red Hat.
VMware
Az SLSA 1.0-s specifikációja megosztott elvárásrendszert hoz a nyílt forráskódú projektbiztonsági helyzet körül. A kezdeti három szint erőteljesebb beszélgetést és érvelést tesz lehetővé az ökoszisztéma összetett termelői-fogyasztói hálózatain keresztül. A VMware úgy látja, hogy az SLSA pozitívan járul hozzá a folyamatosan javuló megbízhatósághoz mind az általunk létrehozott nyílt forráskódú műtermékek, mind a saját kínálatunkat megalapozó és felgyorsító közösségi projektek tekintetében.
– Tim Pepper, vezető mérnök / alelnök, Vmware.
Végfelhasználói komment (a „másik vég” felhasználói ;-))
GitHub
Miközben folyamatosan javítjuk az npm-csomagok felépítésének biztonságát, az SLSA-keretrendszer indítópultként szolgált számunkra a biztosítandó képességek meghatározásában. Hozzájárult ahhoz, hogy a nyílt forráskódú csomagok biztonságát a felhasználók, a nyílt forráskódú karbantartók és a szállítók számára logikus módon mozdítsák elő.
– Zach Steindler, vezető biztonsági mérnök, GitHub.
Az OpenSSF-ről
Az Open Source Security Foundation (OpenSSF) a Linux Foundation által üzemeltetett, ágazatközi szervezet, amely egyesíti az iparág legfontosabb nyílt forráskódú biztonsági kezdeményezéseit, valamint az azokat támogató magánszemélyeket és cégeket. Az OpenSSF elkötelezte magát amellett, hogy együttműködik mind az upstream, mind a meglévő közösségekkel annak érdekében, hogy mindenki számára előmozdítsa a nyílt forráskódú biztonságot. További információért látogasson el az openssf.org webhelyre .
Médiakapcsolat:
Jennifer Bly
OpenSSF
jbly@linuxfoundation.org
Ez a cikk az alábbi helyen elérhető jelentés fordítása:
https://www.linuxfoundation.org/press/openssf-announces-slsa-version-1.0-release
A jelentés a Creative Commons Attribution 3.0 Licenc alá tartozik.