常见的合规陷阱 Software Supply Chain Security

突出 software supply chain security 框架

正如前面提到的，许多 software supply chain security 框架如今已经存在。以下是一些突出的例子：

1. 软件工件的供应链级别（SLSA）

由Google开发， 萨尔瓦多 定义了一个多级框架，用于确保整个供应链中软件工件的完整性和来源。每个级别都提供不同的安全保障，从基本签名到可重现构建的证明以及加密验证。对于那些寻求灵活且精细的方法来保护其软件供应链的组织来说，这是一个理想的选择。

SLSA 的关键级别：

• 级别 1（基本签名）： 为工件添加基本签名，确立所有权并防止篡改。
• 第 2 级（可重现构建）： 确保跨环境的一致且可验证的构建，并记录来源信息。
• 级别 3（加密验证）： 提供构建和依赖项的加密验证，提供强有力的真实性保证。
• 级别 4（增强签名和证明）： 实施高级签名和证明，以实现最大程度的安全性和篡改检测。

2. CIS Software Supply Chain Security 基准

由开发 互联网安全中心（CIS)作为值得信赖的安全指南来源，该基准测试提供了一种结构化的方法来保护软件供应链的安全。它涵盖五个关键阶段，并提供了规范性建议：

• 源代码： 保护您的代码库免受未经授权的访问和修改。
• 建立诚信： 确保构建过程和工件的完整性。
• 依赖管理： 安全地管理和验证第三方软件依赖关系。
• 发布完整性： 保护软件版本免遭篡改和未经授权的分发。
• 部署完整性： 实施将软件部署到生产环境的安全实践。

委员会提出了 100 多条建议，涵盖从基本卫生到高级控制等各个方面， CIS benchmark 适合各种规模和技术专长的组织。其灵活性和适应性允许根据不同的开发环境和技术进行定制。

3. OWASP 软件组件验证 Standard

SCVS 是一个由 开放式 Web 应用程序安全项目 (OWASP). 旨在建立一个 standard在整个供应链中验证软件组件完整性和来源的标准化方法。该框架提供了一组活动、控制和最佳实践，可帮助组织：

• 提高对其软件组件的可见性和控制力。
• 在安全漏洞被利用之前，主动识别并缓解它们。
• 使其实践与行业最佳实践保持一致，并 standards.

4.OpenSSF FLOSS

这个自愿的自我评估项目 使开源项目能够展示其 commit安全管理并改善其安全态势。通过遵循依赖管理、构建完整性和发布签名等关键领域的最佳实践，项目可以获得整个开源生态系统认可的徽章。

参加有很多好处 OpenSSF 最佳实践徽章计划，包括：

• 改善安全态势： 通过遵循该计划概述的最佳实践，项目可以显著改善其安全态势并降低漏洞风险。
• 提高可见度： 获得徽章的项目将获得以下认可： commit安全性，这可以帮助他们吸引新的用户、贡献者和赞助商。
• 社区支持： 该计划提供了接触安全专家社区的机会，他们可以帮助项目实现其安全目标。

5. OpenSSF 记分卡

想象一下开源项目的安全报告卡。这本质上就是 记分卡 提供。它分析公开可用的信息，以评估开源项目在各个方面的安全健康状况：

• 依赖关系： 识别并评估项目使用的第三方软件中的潜在漏洞。
• 构建系统： 检查安全构建实践以确保编译代码的完整性。
• 解除签署： 验证发布是否经过数字签名以防止篡改。
• 漏洞披露： 评估项目识别、报告和解决漏洞的实践。

6.  持久安全框架 (ESF)

FHS Software Supply Chain Security (SSCS) 是一项由 持久安全框架 (ESF) 该倡议致力于确保整个软件开发和交付过程的安全。它强调公共和私人实体之间的合作，以解决整个供应链中的漏洞并降低风险。

以下是 ESF 的一些关键方面 SSCS:

• 增强关键基础设施和国家安全系统使用的开源软件的安全性。
• 培养管理依赖关系、构建系统和发布签名的最佳实践。
• 促进软件供应链的透明度和责任制。
• 降低因软件组件漏洞而导致的网络攻击和入侵风险。