
作者:David A. Wheeler,Linux基金会;John Speed Meyers,Chainguard;Mikaël Barbero,Eclipse基金会;Rebecca Rumbul,Rust基金会
即使是关于软件供应链安全的基本问题,回答起来也是出乎意料的困难。例如,与软件供应链安全相关的不同实践有多普遍?软件专业人员认为这些做法是有用还是无用?容易还是困难?为了帮助回答这些问题和相关问题、 茶杯,在 日蚀基金会,在 拉斯特基金会,以及 开放源代码安全基金会 (OpenSSF) 合作开展软件供应链安全调查.这些问题主要是,但不完全是,来自于与 "中国 "有关的安全要求。 软件工件的供应链级别 (SLSA)供应链诚信框架的0.1版(进行调查时的版本),因此是SLSA++。
考虑到最近 白宫国家网络安全战略在强调组织使用安全软件开发的最佳实践和框架的同时,了解负责这项工作的个人贡献者--如开发人员、开源维护者和安全从业者--是如何采用软件供应链安全实践和准则的,这一点很重要。新的SLSA++调查提供了对这些趋势的见解,哪些是有效的,哪些是无效的。
这项调查是在2022年夏秋之际进行的,包括来自各种组织的近170名受访者的数据,这些组织有大有小,有些是以安全为重点的角色,有些不是。所有受访者都针对十个不同的软件供应链安全实践回答了一系列问题。三个关键的发现很突出:
一些软件供应链安全实践已经被广泛采用。
许多实践已经有了强大或适度的采用。例如,超过一半的受访者表示总是使用集中式构建服务。其他实践,如数字签名,则不太经常采用:只有25%的受访者报告他们的团队总是签署构建的工件。这些发现与谷歌2022年的DevOps状况一致 报告.

大多数做法被认为是有帮助的,但令人惊讶的是,很少有 感受到的帮助程度的变化。
对于调查中的每一项软件供应链安全实践,至少有50%的受访者将该实践标记为极有帮助或非常有帮助。但令人惊讶的是,在所调查的实践中,不同的实践所感知到的帮助性只有微小的差别。最后,受访者认为某项实践有帮助的程度与受访者的组织采用该实践的可能性呈正相关。这些实践是否被认为是有帮助的,然后被使用,或者被使用的实践被认为是有帮助的,不能从调查数据中确定。
一些SLSA做法被认为比其他做法要难得多。
秘密构建和可重复构建被认为比其他做法要难得多。超过50%的受访者表示,这些做法非常困难或非常困难。其他做法,如扫描容器图像,被认为是相对容易的。此外,这些做法的难度与采用情况没有统计上的显著关系。
综上所述,调查结果表明,软件供应链安全实践并不是一个遥不可及的理想。一些软件供应链安全实践已经得到了广泛的采用。同样重要的是,由于感知到的有用性,而不是困难,目前似乎可以解释这些实践的采用趋势,因此有意推广这些实践的各方应该考虑解释这些不同实践的好处,而不是简单地关注更好的工具。
详细的调查报告,包括其方法,可以找到 这里.
如果有兴趣了解更多关于这些发现以及组织如何实施SLSA框架,请加入Chainguard、OpenSSF、Rust基金会和Eclipse基金会在2023年3月22日的虚拟讨论,时间为美国东部时间11-12点/太平洋时间8-9点。注册获得日历提醒 这里.