写点什么

供应链实践调查报告:可感知的实践有用性与采用程度相关

  • 2023-04-07
    北京
  • 本文字数:1217 字

    阅读完需:约 4 分钟

供应链实践调查报告:可感知的实践有用性与采用程度相关

最近一项关于供应链安全实践的调查发现,尽管一些实践已被广泛采用,但关键性实践的采用却是滞后的。该调查基于软件工件供应链等级(Supply-chain Levels for Software Artifacts,SLSA)框架进行。调查报告指出,关键实践,如生成来源,在采用方面是滞后的。调查还发现,人们认为实践的有用性与该实践的采用高度相关。

 

SLSA 是一个开源的安全框架,提供与供应链安全相关的标准和控制。它提出了一些预防和减轻软件供应链攻击的安全实践。这些实践分为四个等级——从完全脚本化的构建到封闭的、可重用的构建。这项调查包含了受访者对这些实践的采用、难度和感知有用性的反馈。

 


部分软件供应链安全实践采用程度(来源:OpenSSF

 

调查结果表明,一些实践已被广泛地采用。例如,超过 50%的受访者表示,他们总是会使用集中式的构建服务。另外两个常用的实践是临时性构建和隔离性构建。

 

然而,提供来源(被认为是 SLSA 一级所需的关键相关实践)在采用方面却是滞后的。来源是关于如何构建工件的元数据,包括所有权、来源、依赖项和构建过程的信息。

 

报告指出,受访者认为实践的有用性程度确实与采用该实践的可能性呈正相关。报告作者建议把重点放在解释为什么实践有助于潜在地推动更多的采用上。Amélie Koran、Wendy Nather、Stewart Scott 和 Sara Ann Brackett 最近发表的一篇文章证实了这一发现,因为它与 SBOM(软件物料清单)有关。他们指出,由于 SBOM 实践的价值被低估,缺乏明确定义的 SBOM 用例可能会导致采用程度不高。

 

一些受访者质疑生成来源的有用性,这说明需要进一步解释这种实践的好处:


这似乎是一种会带来大量文书工作的方法,并且可以在事后很容易进行回顾——“发生了这些攻击”……但却没有从一开始就阻止攻击的发生。

 

对于生成软件材料清单(SBOM)的有用性,其他受访者也有类似的看法:


这是一种所有人都不喜欢的乏味的文书工作,开发者不喜欢(因为他们必须编写内容,并可能为随机依赖项做出辩护),管理层不喜欢(因为这会导致延迟和不愉快的开发),甚至是法务人员也不喜欢(因为它有可能将意外侵权变成故意侵权)。尽管如此,谨慎对待依赖项似乎是降低供应链攻击风险的唯一好方法。

 

受访者表示,一些 SLSA 实践,例如封闭式构建,比其他实践更难被采用。调查发现,可感知的实践难度与组织是否采用实践之间没有相关性。

 

因为调查结果与采用相关,所以它与最近发布的谷歌2022年Accelerate DevOps状态报告密切一致。该报告还关注供应链安全,并同时使用了 SLSA 框架和 NIST 的安全软件开发框架(SSDF)。同样,他们发现大多数受访者表示他们至少部分采用了每一种实践。

 

关于最近 SLSA++调查的更多细节可以在OpenSSF博客上找到。SLSA 1.0草案现在也开放给社区评审。

 

原文链接

https://www.infoq.com/news/2023/03/slsa-survey-adoption/


相关阅读:

Snap 首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

RPA 带来 6 位数的人力工时节约,但全民低代码时代还未到来|顺丰供应链的数字化探索与实践


2023-04-07 08:003746

评论

发布
暂无评论
发现更多内容

架构实战营模块7作业

挖了蘑菇哩斯

架构实战营

从日常小事看如何工作

耳东@Erdong

7月月更

Okaleido tiger NFT即将登录Binance NFT平台,你期待吗?

股市老人

45W性能释放+2.8K OLED全面屏 华硕灵耀X 14 2022精英气质高效利器

科技热闻

TableWidget 排序的多种方式

小肉球

qt 7月月更

正则什么的,你让我写,我会难受,你让我用,真香!

掘金安东尼

前端 正则 7月月更

mysql进阶(十四) 批量更新与批量更新多条记录的不同值实现方法

No Silver Bullet

MySQL 数据库 7月月更 批量更新

这价格够香!灵耀14 2022影青釉秒杀:12代酷睿+2.8K OLED屏

科技热闻

Wallys/industrial Wireless AP/IPQ6018,IPQ4019,IPQ4029,802.11ax,802.11ac,outdoor ap

wallys-wifi6

Okaleido tiger NFT即将登录Binance NFT平台,NFT权益时代即将开启

鳄鱼视界

Qt|控制QScrollBar显示位置

中国好公民st

qt 7月月更

个性潮流与性能兼备,华硕a豆14 Pro搭载全新12代酷睿标压处理器

科技热闻

树莓派3B搭建Flink集群

程序员欣宸

Java flink 树莓派 7月月更

STM32+ENC28J60+UIP协议栈实现WEB服务器示例

DS小龙哥

7月月更

一年时间过去了,LiveData真的被Flow代替了吗? LiveData会被废弃吗?

编程的平行世界

android android jetpack

常用 CSS 代码片段集合,建议收藏

南城FE

CSS 前端 CSS语法 7月月更

iOS中内存管理(Autoreleasepool)

NewBoy

ios 前端 移动端 iOS 知识体系 7月月更

Qt | Qt的项目文件.pro文件详解

YOLO.

qt 7月月更

LeetCode-94. 二叉树的中序遍历(java)

bug菌

Leet Code 7月月更

Java RMI

沃德

Java 程序员 7月月更

关于Web响应式设计

程序员海军

Web 7月月更 响应式设计

C#入门系列(二十六) -- 程序集和命名空间

陈言必行

7月月更

王者荣耀商城异地多活架构设计

Geek_7a789a

Web3流量聚合平台Starfish OS,给玩家元宇宙新范式体验

股市老人

云原生(九) | Devops篇之Jenkins安装与实战

Lansonli

云原生 7月月更

java零基础入门-java8新特性(中篇)

喵手

Java 7月月更

git clone出错--必看贴

坚果

git Mac git 学习 7月月更

wallys/industrial Wireless AP/IPQ4019 IPQ4029 ,802.11ac /VSSupport IPQ6018 IPQ4019 IPQ4029 802.11ax 802.11ac

wallys-wifi6

阿里云技术专家杨泽强:弹性计算云上可观测能力构建

阿里云弹性计算

DevOps 可观测性 CI/CD metrics

供应链实践调查报告:可感知的实践有用性与采用程度相关_语言 & 开发_Matt Campbell_InfoQ精选文章