چگونه SLSA می تواند زنجیره تامین نرم افزار شما را ایمن کند

موردی برای امنیت زنجیره تامین نرم افزار.

چند روز پیش، در 22 اکتبر 2024، کمیسیون بورس و اوراق بهادار میلیون ها دلار را به دلیل برچسب اشتباه خطرات حمله SolarWinds به عنوان “فرضی” جریمه کرد. چهار شرکت Unisys، Avaya، Check Point و Mimecast 7 میلیون دلار جریمه شدند. در سال 2020، حمله SolarWinds بر سازمان‌های بزرگ تأثیر گذاشت، زیرا بدافزارها به نرم‌افزار Orion خود دسترسی به پشتی دادند.

حملات زنجیره تامین از آن زمان تنها از نظر کمیت و بزرگی افزایش یافته است. اگرچه شرکت ها همچنان تاثیر امنیت زنجیره تامین را کم اهمیت جلوه می دهند، به طور متوسط ​​کمتر از 50 درصد از کد پایه در سازمان شما توسط کارمندان شما نوشته می شود. کنترل های امنیتی زنجیره تامین خطرات ناشی از نرم افزار “خارجی” را که همراه با محصول شما ارسال می شود، کاهش می دهد.

راه حلی برای ایجاد زنجیره های تامین نرم افزار قوی.

گوگل از سال 2010 سرمایه گذاری زیادی روی ریسک های داخلی انجام داده است و کنترل های امنیتی چند لایه ای را برای دفاع در برابر حملات پیشرفته ایجاد کرده است. در حدود سال‌های ۲۰۱۹/۲۰، گوگل کروم شروع به توسعه چارچوبی کرد که برای یک جامعه گسترده‌تر، از Chromium شروع می‌شود. همکاری در سراسر شرکت منجر به تشکیل سطوح زنجیره تامین برای مصنوعات نرم افزاری با نام SLSA شد.

از آن زمان، گوگل این پروژه را به OpenSSF، یکی از بزرگترین…

Source link