2022 年 8 月 4 日,Microsoft 公开共享了自 2019 年以来一直用于保护其自身开发实践的框架,即安全供应链消费框架(S2C2F),之前称为开源软件-供应链安全 (OSS-SSC) 框架. 作为开源的大量消费者和贡献者,Microsoft 了解围绕保护开发人员在构建软件时如何使用和管理开源软件 (OSS) 依赖项的稳健策略的重要性。我们很高兴地宣布 S2C2F 已被OpenSSF 采用隶属于供应链完整性工作组,并成立了自己的特别倡议小组 (SIG)。我们在 OpenSSF 和全球范围内的同行都同意微软的观点,即这项工作对于提高每个人的供应链安全性至关重要。
什么是S2C2F?
我们将 S2C2F 构建为一个以消费为中心的框架,该框架使用基于威胁的风险降低方法来减轻现实世界的威胁。它的主要优势之一是它与任何以生产者为中心的框架(例如 SLSA)的匹配程度。1该框架列举了一系列现实世界中特定于 OSS 的供应链威胁,并解释了该框架的要求如何缓解这些威胁。它还包括一组与平台和软件无关的高级重点,分为八个不同的实践领域:
八项实践中的每一项都包含应对威胁和降低风险的要求。这些要求分为四个成熟度级别。我们已经看到采用该框架的内部和外部项目取得了巨大成功。使用 S2C2F,团队和组织可以根据成熟度模型更有效地确定工作的优先级。在框架内针对特定级别的合规性的能力意味着团队可以在降低供应链风险方面取得有意和渐进的进展。
每个成熟度级别都有一个以级别(1 到 4)表示的主题。级别 1代表了以前的传统智慧,即清点您的 OSS、扫描已知漏洞,然后更新 OSS 依赖项,这是 OSS 治理程序所需的最低要求。2 级建立在 1 级之上,利用有助于改善 OSS 漏洞平均修复时间 (MTTR) 漏洞的技术,目标是比对手更快地进行修补。第 3 级侧重于主动安全分析与预防性控制相结合,以减轻意外使用受损或恶意 OSS 的情况。4级代表减轻最复杂攻击的控制,但也是最难大规模实施的控制——因此,这些应该被认为是有抱负的,并为您在最关键项目中的依赖性保留。
S2C2F 包括评估组织成熟度的指南,以及推荐来自整个行业的工具以帮助满足框架要求的实施指南。例如,GitHub Advanced Security (GHAS) 和GHAS on Azure DevOps (ADO) 已经提供了一套安全工具,可帮助团队和组织实现 S2C2F 2 级合规性。
S2C2F 对供应链安全的未来至关重要
根据 Sonatype 的 2022 年软件供应链状况报告,在过去三年中,专门针对 OSS 的2 次供应链攻击每年增加 742%。S2C2F 的设计旨在保护开发人员免受意外使用恶意和受损包的影响,从而通过减少基于消费的攻击面来帮助减轻供应链攻击。随着新威胁的出现,供应链完整性工作组下的 OpenSSF S2C2F SIG 由 Microsoft 团队领导,致力于审查和维护 S2C2F 要求集以应对这些威胁。
原文始发于微信公众号(河南等级保护测评):微软向 OpenSSF 贡献 S2C2F 以提高供应链安全性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论