موردی برای امنیت زنجیره تامین نرم افزار.
چند روز پیش، در 22 اکتبر 2024، کمیسیون بورس و اوراق بهادار میلیون ها دلار را به دلیل برچسب اشتباه خطرات حمله SolarWinds به عنوان “فرضی” جریمه کرد. چهار شرکت Unisys، Avaya، Check Point و Mimecast 7 میلیون دلار جریمه شدند. در سال 2020، حمله SolarWinds بر سازمانهای بزرگ تأثیر گذاشت، زیرا بدافزارها به نرمافزار Orion خود دسترسی به پشتی دادند.
حملات زنجیره تامین از آن زمان تنها از نظر کمیت و بزرگی افزایش یافته است. اگرچه شرکت ها همچنان تاثیر امنیت زنجیره تامین را کم اهمیت جلوه می دهند، به طور متوسط کمتر از 50 درصد از کد پایه در سازمان شما توسط کارمندان شما نوشته می شود. کنترل های امنیتی زنجیره تامین خطرات ناشی از نرم افزار “خارجی” را که همراه با محصول شما ارسال می شود، کاهش می دهد.
راه حلی برای ایجاد زنجیره های تامین نرم افزار قوی.
گوگل از سال 2010 سرمایه گذاری زیادی روی ریسک های داخلی انجام داده است و کنترل های امنیتی چند لایه ای را برای دفاع در برابر حملات پیشرفته ایجاد کرده است. در حدود سالهای ۲۰۱۹/۲۰، گوگل کروم شروع به توسعه چارچوبی کرد که برای یک جامعه گستردهتر، از Chromium شروع میشود. همکاری در سراسر شرکت منجر به تشکیل سطوح زنجیره تامین برای مصنوعات نرم افزاری با نام SLSA شد.
از آن زمان، گوگل این پروژه را به OpenSSF، یکی از بزرگترین…