微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性

admin 2022年11月20日11:42:25安全新闻评论17 views1356字阅读4分31秒阅读模式

微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性

2022 年 8 月 4 日,Microsoft 公开共享了自 2019 年以来一直用于保护其自身开发实践的框架,即安全供应链消费框架(S2C2F),之前称为开源软件-供应链安全 (OSS-SSC) 框架. 作为开源的大量消费者和贡献者,Microsoft 了解围绕保护开发人员在构建软件时如何使用和管理开源软件 (OSS) 依赖项的稳健策略的重要性。我们很高兴地宣布 S2C2F 已被OpenSSF 采用隶属于供应链完整性工作组,并成立了自己的特别倡议小组 (SIG)。我们在 OpenSSF 和全球范围内的同行都同意微软的观点,即这项工作对于提高每个人的供应链安全性至关重要。

什么是S2C2F?

我们将 S2C2F 构建为一个以消费为中心的框架,该框架使用基于威胁的风险降低方法来减轻现实世界的威胁。它的主要优势之一是它与任何以生产者为中心的框架(例如 SLSA)的匹配程度。1该框架列举了一系列现实世界中特定于 OSS 的供应链威胁,并解释了该框架的要求如何缓解这些威胁。它还包括一组与平台和软件无关的高级重点,分为八个不同的实践领域:

微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性

八项实践中的每一项都包含应对威胁和降低风险的要求。这些要求分为四个成熟度级别。我们已经看到采用该框架的内部和外部项目取得了巨大成功。使用 S2C2F,团队和组织可以根据成熟度模型更有效地确定工作的优先级。在框架内针对特定级别的合规性的能力意味着团队可以在降低供应链风险方面取得有意和渐进的进展。

每个成熟度级别都有一个以级别(1 到 4)表示的主题。级别 1代表了以前的传统智慧,即清点您的 OSS、扫描已知漏洞,然后更新 OSS 依赖项,这是 OSS 治理程序所需的最低要求。2 级建立在 1 级之上,利用有助于改善 OSS 漏洞平均修复时间 (MTTR) 漏洞的技术,目标是比对手更快地进行修补。第 3 级侧重于主动安全分析与预防性控制相结合,以减轻意外使用受损或恶意 OSS 的情况。4级代表减轻最复杂攻击的控制,但也是最难大规模实施的控制——因此,这些应该被认为是有抱负的,并为您在最关键项目中的依赖性保留。

微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性

S2C2F 包括评估组织成熟度的指南,以及推荐来自整个行业的工具以帮助满足框架要求的实施指南。例如,GitHub Advanced Security (GHAS) 和GHAS on Azure DevOps (ADO) 已经提供了一套安全工具,可帮助团队和组织实现 S2C2F 2 级合规性。

S2C2F 对供应链安全的未来至关重要

根据 Sonatype 的 2022 年软件供应链状况报告,在过去三年中,专门针对 OSS 的2 次供应链攻击每年增加 742%。S2C2F 的设计旨在保护开发人员免受意外使用恶意和受损包的影响,从而通过减少基于消费的攻击面来帮助减轻供应链攻击。随着新威胁的出现,供应链完整性工作组下的 OpenSSF S2C2F SIG 由 Microsoft 团队领导,致力于审查和维护 S2C2F 要求集以应对这些威胁。

项目管理的基本原则
2023道德黑客最喜欢的工具和软件
密码安全法律法规及政策文件汇总
平衡安全自动化和人为因素
网络安全取证(十五)应用取证
2023年5大网络安全趋势
2023年值得关注的7个网络安全趋势
供应链安全指南:了解组织为何应关注供应链网络安全
密码趣谈(一)—密码面面观


原文始发于微信公众号(河南等级保护测评):微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月20日11:42:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性 http://cn-sec.com/archives/1418951.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: