OpenSSF 通过 S2C2F 扩大供应链完整性工作

admin 2022年11月20日11:22:31安全闲碎评论5 views1532字阅读5分6秒阅读模式

OpenSSF 通过 S2C2F 扩大供应链完整性工作

作者:Jay White,Microsoft 和 David A. Wheeler,Linux 基金会

围绕确保开发人员在构建软件时如何使用和管理开源软件 (OSS) 依赖项的稳健策略至关重要。安全供应链消费框架 (S2C2F) 是一个以消费为中心的框架,它使用基于威胁的风险降低方法来缓解开源软件 (OSS) 中的现实世界威胁。今天,我们很高兴地宣布,它已被供应链完整性工作组下的 OpenSSF 采用,并形成了自己的特别兴趣小组 (SIG)。安全供应链消费框架(S2C2F),当与以生产者为中心的面向工件的框架结合使用时,例如软件工件的供应链级别 ( SLSA ) ),为软件生产者和消费者提供了关于如何安全地构建和使用软件的完整指南。 

什么是安全供应链消费框架 (S2C2F)?

S2C2F 由 Microsoft 构建和捐赠,自 2019 年以来一直在内部使用和完善。它被构建为一个以消费为中心的框架,使用基于威胁的风险降低方法来减轻现实世界的威胁。该框架列举了现实世界供应链对 OSS 的威胁列表,并解释了框架的要求如何减轻这些威胁。它还包括一组与平台和软件无关的高级重点,分为 8 个不同的实践领域:

OpenSSF 通过 S2C2F 扩大供应链完整性工作

8 项实践中的每一项都包含应对威胁和降低风险的要求。这些要求分为 4 个成熟度级别。每个成熟度级别都有一个主题,以级别 (1-4) 表示。

  • 级别 1 – 代表许多组织已经应用的一组基本治理实践,例如使用包管理器(自动跟踪和更新重用组件)、清点您的 OSS、扫描已知漏洞以及更新 OSS 依赖项。 

  • 第 2 级——在第 1 级的基础上构建,利用有助于改善平均修复时间 (MTTR) 漏洞的技术,目标是比对手攻击更快地修复漏洞。 

  • 第 3 级– 侧重于主动安全分析与预防性控制相结合,以减轻意外使用受损或恶意 OSS 的情况,这些问题不太常见,但一旦发生可能会造成危害。

  • 第 4 级– 代表可减轻最复杂攻击但也最难大规模实施的控制措施;因此,在许多情况下,级别 4 应被视为理想级别,并保留给您在最关键项目中的依赖性。

OpenSSF 通过 S2C2F 扩大供应链完整性工作

Azure 首席技术官 Mark Russinovich 表示:“我们已经看到采用该框架的内部和外部项目取得了巨大成功。” “使用 S2C2F,团队和组织能够根据成熟度模型更有效地确定他们工作的优先级。在框架内针对特定级别的合规性的能力意味着团队可以在降低供应链风险方面取得有意和渐进的进展。” 

S2C2F 包括评估组织成熟度的指南,以及推荐来自整个行业的工具以帮助满足任何公司的框架要求的实施指南。

它的主要优势之一,以及为什么我们如此兴奋地将它纳入 OpenSSF,是它与任何以生产者为中心的框架(如 SLSA)的配对有多好。例如,S2C2F 对所有依赖性工件来源的第 3 级要求可以通过以通过 SLSA 视为可信的方式生成的工件来源来实现。

OpenSSF 致力于提供实用且易于访问的框架,以帮助保护软件供应链

根据 Sonatype 的 2022 年软件供应链状况报告,在过去 3 年中,专门针对 OSS 的供应链攻击每年增加 742%。此外,95.5% 的已知易受攻击的下载都有可用的非易受攻击选项。S2C2F 旨在保护开发人员免于意外使用易受攻击的包(包括恶意和受损包),通过减少基于消费的攻击面来帮助减轻供应链攻击。 随着新威胁的出现,供应链完整性工作组下的 OpenSSF S2C2F SIG 致力于审查和维护 S2C2F 要求集以应对这些威胁。

项目管理的基本原则
2023道德黑客最喜欢的工具和软件
密码安全法律法规及政策文件汇总
平衡安全自动化和人为因素
网络安全取证(十五)应用取证
2023年5大网络安全趋势
2023年值得关注的7个网络安全趋势
供应链安全指南:了解组织为何应关注供应链网络安全
密码趣谈(一)—密码面面观


原文始发于微信公众号(河南等级保护测评):OpenSSF 通过 S2C2F 扩大供应链完整性工作

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月20日11:22:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OpenSSF 通过 S2C2F 扩大供应链完整性工作 http://cn-sec.com/archives/1418946.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: