作者:微软的Jay White和Linux基金会的David A. Wheeler
围绕保障开发者在构建软件时如何消费和管理开源软件(OSS)的依赖关系的强大策略是至关重要的。安全供应链消费框架(S2C2F)是一个以消费为重点的框架,它采用基于威胁、减少风险的方法来减轻开源软件(OSS)的现实威胁。今天,我们很高兴地宣布,它已被OpenSSF的供应链完整性工作组采用,并形成了自己的特殊兴趣小组(SIG)。该小组 安全供应链消费框架 (S2C2F),当与一个以生产者为中心的面向工件的框架相结合时,如软件工件的供应链级别(S2C2F)。SLSA),为软件生产者和消费者提供了一个完整的指南,说明如何安全地构建和消费软件。
什么是安全供应链消费框架(S2C2F)?
S2C2F是由微软建立和捐赠的,自2019年以来,它一直在内部使用和完善。它被构建为一个以消费为重点的框架,使用基于威胁的减少风险的方法来减轻现实世界的威胁。该框架列举了现实世界中对OSS的供应链威胁清单,并解释了该框架的要求如何减轻这些威胁。它还包括一套高层次的平台和软件的重点,分为8个不同的实践领域。
8项实践中的每一项都包括应对威胁和减少风险的要求。这些要求被组织成4个成熟度级别。每个成熟度级别都有一个主题,在级别(1-4)中代表。
- 第1级 - 代表了许多组织已经应用的一套基本的治理实践,如使用软件包管理器(自动跟踪和更新重复使用的组件),清点你的开放源码软件,扫描已知的漏洞,并更新开放源码软件的依赖关系。
- 第2级 - 在第一级的基础上,利用技术帮助提高你的平均修复时间(MTTR)漏洞,目的是比对手的攻击更快修复。
- 三级 - 着重于主动的安全分析与预防控制相结合,以减轻意外消费受损或恶意的开放源码软件,这些问题不太常见,但一旦发生就会造成伤害。
- 4级 - 代表缓解最复杂的攻击的控制,但也是最难大规模实施的;因此,在许多情况下,第4级应被认为是理想的,并保留给你最关键项目中的依赖。
"Azure首席技术官Mark Russinovich说:"我们已经看到采用这一框架的内部和外部项目取得了巨大成功。"使用S2C2F,团队和组织能够根据成熟度模型更有效地确定他们工作的优先次序。在框架内针对特定的合规性水平的能力意味着团队可以在降低供应链风险方面取得有意的和渐进的进展。"
S2C2F包括一份评估组织成熟度的指南,以及一份实施指南,其中推荐了整个行业的工具,以帮助满足任何公司的框架要求。
它的主要优势之一,也是我们为什么如此兴奋地将其纳入OpenSSF的原因,是它与任何以生产者为中心的框架(如SLSA)搭配得非常好。例如,S2C2F对所有依赖性工件出处的第三级要求可以通过生成工件出处的方式来实现,这种方式通过SLSA被认为是可信的。
OpenSSF致力于提供务实的、可获得的框架,以帮助保障软件供应链的安全。
根据Sonatype的2022年 软件供应链状况报告在过去的三年里,专门针对OSS的供应链攻击每年增加742%。此外,95.5%的已知易受攻击的下载有一个非易受攻击的选项可用。S2C2F的设计从根本上是为了保护开发者不会意外地消费易受攻击的软件包(包括恶意的和被破坏的软件包),通过减少基于消费的攻击面来帮助减轻供应链的攻击。 随着新威胁的出现,供应链完整性工作组下的OpenSSF S2C2F SIG致力于审查和维护一套S2C2F要求以应对这些威胁。
查看 或 下载 现在就来看看你如何提高你的团队或组织的开放源码软件消费实践的安全性。S2C2F正在完善过程中;要参与,请来 加入S2C2F社区讨论 在OpenSSF供应链完整性工作小组内。我们很高兴能获得对S2C2F的反馈和贡献,看到各组织从其采用中受益,并实现我们对供应链安全的端到端愿景。
