OpenSSF 采用微软内置的供应链安全框架

admin 2022年11月20日11:26:37安全新闻评论14 views1239字阅读4分7秒阅读模式

开源安全基金会 (OpenSSF) 周三宣布采用安全供应链消费框架 (S2C2F),这是微软构建的用于使用开源软件的框架。

开启等级保护之路:GB 17859网络安全等级保护上位标准
日本加密货币交易所被黑9700万美元被盗
思科表示将不再修复旧小型企业路由器中新发现的严重漏洞
行为透明:应用安全与网络意识的碰撞
美国安全厂商阻击最大的1720 万 rps DDoS 攻击
Fortinet FortiWeb OS 命令注入
零信任原则:了解用户、服务和设备身份
零信任原则:评估用户行为、服务和设备健康状况
零信任机构:评估用户行为、服务和设备健康状况
西门子的网络安全保护的三个阶段
零信任原则:选择专为零信任设计的服务
如何补充加强密码?
如何选择保护密码?
如何保护好无线网络?
美国CISA 将单因素身份验证添加到不良做法列表中
避免社会工程和网络钓鱼攻击
美国CISA有关勒索软件常见问题
来自美国CIA的网络安全良好习
VMware 和F5 发布多个漏洞修复补丁
网络安全等级保护:安全计算环境思维导图(基本要求)

自 2019 年起在 Microsoft 内部使用并于 2022 年 8 月公开,S2C2F定义了对开源软件 (OSS) 的现实威胁,并包括缓解这些威胁的要求。以消费为中心的框架采用基于威胁的降低风险的方法来减轻供应链对 OSS 的威胁。

该框架包括八个不同的实践领域,包括摄取、库存、更新、执行、审计、扫描、重建和修复(上游)。

OpenSSF 采用微软内置的供应链安全框架

其中每一个都包含按四个成熟度级别组织的要求,即基本治理实践(OSS 清单、漏洞扫描和依赖项更新)、改进 OSS 中的平均修复时间 (MTTR) 漏洞、主动安全分析和控制,以及针对复杂的缓解措施攻击。

OpenSSF 采用微软内置的供应链安全框架

微软解释道:“使用 S2C2F,团队和组织可以根据成熟度模型更有效地确定工作的优先级。在框架内针对特定级别的合规性的能力意味着团队可以在降低供应链风险方面取得有意和渐进的进展。”

该框架还包括帮助组织评估其成熟度水平的指南,以及一份实施指南,其中包含有关可帮助组织满足框架要求的行业工具的建议。

按照设计,S2C2F 应该保护开发人员免于意外使用恶意和受损的包,从而减轻供应链攻击。由 Microsoft 团队领导的 OpenSSF S2C2F 特别兴趣小组 (SIG) 将更新 S2C2F 要求以应对新出现的威胁。

OpenSSF指出:“它的一个主要优势,以及我们为什么如此兴奋地将它纳入 OpenSSF,是它与任何以生产者为中心的框架(如 SLSA [软件工件的供应链级别)] 的配对有多好。例如,S2C2F 对所有依赖性工件来源的第 3 级要求可以通过生成的工件来源以通过 SLSA 视为可信的方式来实现。”

项目管理的基本原则
2023道德黑客最喜欢的工具和软件
密码安全法律法规及政策文件汇总
平衡安全自动化和人为因素
网络安全取证(十五)应用取证
2023年5大网络安全趋势
2023年值得关注的7个网络安全趋势
供应链安全指南:了解组织为何应关注供应链网络安全
密码趣谈(一)—密码面面观

原文始发于微信公众号(河南等级保护测评):OpenSSF 采用微软内置的供应链安全框架

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月20日11:26:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OpenSSF 采用微软内置的供应链安全框架 http://cn-sec.com/archives/1418942.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: