开源安全基金会 (OpenSSF) 周三宣布采用安全供应链消费框架 (S2C2F),这是微软构建的用于使用开源软件的框架。
自 2019 年起在 Microsoft 内部使用并于 2022 年 8 月公开,S2C2F定义了对开源软件 (OSS) 的现实威胁,并包括缓解这些威胁的要求。以消费为中心的框架采用基于威胁的降低风险的方法来减轻供应链对 OSS 的威胁。
该框架包括八个不同的实践领域,包括摄取、库存、更新、执行、审计、扫描、重建和修复(上游)。
其中每一个都包含按四个成熟度级别组织的要求,即基本治理实践(OSS 清单、漏洞扫描和依赖项更新)、改进 OSS 中的平均修复时间 (MTTR) 漏洞、主动安全分析和控制,以及针对复杂的缓解措施攻击。
微软解释道:“使用 S2C2F,团队和组织可以根据成熟度模型更有效地确定工作的优先级。在框架内针对特定级别的合规性的能力意味着团队可以在降低供应链风险方面取得有意和渐进的进展。”
该框架还包括帮助组织评估其成熟度水平的指南,以及一份实施指南,其中包含有关可帮助组织满足框架要求的行业工具的建议。
按照设计,S2C2F 应该保护开发人员免于意外使用恶意和受损的包,从而减轻供应链攻击。由 Microsoft 团队领导的 OpenSSF S2C2F 特别兴趣小组 (SIG) 将更新 S2C2F 要求以应对新出现的威胁。
OpenSSF指出:“它的一个主要优势,以及我们为什么如此兴奋地将它纳入 OpenSSF,是它与任何以生产者为中心的框架(如 SLSA [软件工件的供应链级别)] 的配对有多好。例如,S2C2F 对所有依赖性工件来源的第 3 级要求可以通过生成的工件来源以通过 SLSA 视为可信的方式来实现。”
原文始发于微信公众号(河南等级保护测评):OpenSSF 采用微软内置的供应链安全框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论