Red Hat w swych działaniach dąży do zachowania transparentności wobec Klientów. Przejrzystość ta jednak w zakresie bezpieczeństwa produktów może być trudna. Firma musi zapewnić klientom informacje, których potrzebują do podjęcia świadomych decyzji, nie narażając siebie ani ich na ataki.

W związku ze wzrostem liczby ataków na łańcuch dostaw oprogramowania w ciągu ostatnich kilku lat, Red Hat skupił się szczególnie na bezpieczeństwie łańcucha dostaw oprogramowania wewnątrz organizacji – Product Security.

Istnieje wiele narzędzi, takich jak Secure Software Development Framework (SSDF) i inne publikacje NIST, które pomagają organizacjom takim jak Red Hat w tworzeniu godnych zaufania środowisk podczas procesu produkcji. Open Source Security Foundation (OpenSSF), we współpracy z kilkoma firmami, w tym z Red Hat, opublikowała niedawno wersję 0.1 nowych ram bezpieczeństwa przeznaczonych specjalnie dla łańcuchów dostaw oprogramowania zgodnych z SSDF – Supplies Chain Levels for Software Artifacts (SLSA). 

Wyjaśnienie dla niewtajemniczonych – SLSA jest frameworkiem OpenSSF do pomiaru dojrzałości bezpieczeństwa łańcucha dostaw oprogramowania. Wykorzystuje on wielopoziomowe podejście (poziomy 1-4) do oceny kontroli bezpieczeństwa danego łańcucha dostaw oprogramowania oraz konkretnych działań podejmowanych przez organizację deweloperską podczas procesu produkcji. 

Mimo, że framework jest nadal jeszcze rozwijany, stanowi niezwykle interesujący dodatek do wytycznych dotyczących łańcucha dostaw. Ramy pozwalają klientom na zorganizowane podejście do tego, czego szukają w bezpieczeństwie łańcucha dostaw.

Samo zapytanie o programowy wykaz materiałów (SBOM) lub raport ze skanowania kodów jest zbyt ogólnikowe i nie obejmuje wszystkich zagadnień. Te wytyczne pozwalają zarówno nowicjuszom, jak i ekspertom zrozumieć podstawy bezpieczeństwa łańcucha dostaw oprogramowania, takie jak:

  • kontrola wersji źródła,
  • utwardzanie i izolacja kompilacji,
  • pochodzenie i podpisywanie,
  • kontrola zależności.
adobestock443419171-maly.jpeg

W jaki sposób Red Hat wprowadza kontrole SLSA?

W procesie produkcyjnym Red Hat wykorzystuje kontrole z wielu różnych systemów przemysłowych. W przypadku SLSA koncentruje się na wymaganiach dotyczących osiągnięcia poziomów 3 i 4 w swych procesach. Kontrole SLSA ułatwiają deweloperom uzyskanie pewności, że ich środowiska są niezawodne/bezpieczne/zaufane i zapewniają Klientom szablon ramowy do zadawania pytań i lepszego zrozumienia polityki bezpieczeństwa Red Hat, jak również własnej.

Wiele wymagań SLSA dotyczy praktyk, które Red Hat stosuje od dłuższego czasu, takich jak tworzenie skryptów, kontrola wersji i wspólne wymagania ( scripted buildsversion controls i common requirements). Jednakże, framework oparty na otwartym kodzie źródłowym w modelu konsumowalnym, takim jak SLSA, jest kluczowy dla certyfikacji/poświadczeń bezpieczeństwa.

Red Hat stworzył mapowanie (mapping), aby pomóc klientom, partnerom przemysłowym i nowicjuszom w dziedzinie bezpieczeństwa zrozumieć korelację między SLSA a istniejącymi frameworkami. Będzie też nadal oceniać framework SLSA, uczestniczyć w jego ewolucji i określać jego znaczenie dla Red Hat. Firma docenia współpracę, która sprawiła, że SLSA jest tym, czym jest dzisiaj i z niecierpliwością czeka na jego rozwój.

Dla tych, którzy są zainteresowani bezpieczeństwem łańcucha dostaw – miejcie oko na to, co Red Hat ma w zanadrzu w tej kwestii.

(Źródło – https://www.redhat.com/en/blog/SLSA-framework-measuring-supply-chain-security-maturity