AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

供应链实践调查报告:可感知的实践有用性与采用程度相关

  • 2023-04-07
    北京
  • 本文字数:1217 字

    阅读完需:约 4 分钟

供应链实践调查报告:可感知的实践有用性与采用程度相关

最近一项关于供应链安全实践的调查发现,尽管一些实践已被广泛采用,但关键性实践的采用却是滞后的。该调查基于软件工件供应链等级(Supply-chain Levels for Software Artifacts,SLSA)框架进行。调查报告指出,关键实践,如生成来源,在采用方面是滞后的。调查还发现,人们认为实践的有用性与该实践的采用高度相关。

 

SLSA 是一个开源的安全框架,提供与供应链安全相关的标准和控制。它提出了一些预防和减轻软件供应链攻击的安全实践。这些实践分为四个等级——从完全脚本化的构建到封闭的、可重用的构建。这项调查包含了受访者对这些实践的采用、难度和感知有用性的反馈。

 


部分软件供应链安全实践采用程度(来源:OpenSSF

 

调查结果表明,一些实践已被广泛地采用。例如,超过 50%的受访者表示,他们总是会使用集中式的构建服务。另外两个常用的实践是临时性构建和隔离性构建。

 

然而,提供来源(被认为是 SLSA 一级所需的关键相关实践)在采用方面却是滞后的。来源是关于如何构建工件的元数据,包括所有权、来源、依赖项和构建过程的信息。

 

报告指出,受访者认为实践的有用性程度确实与采用该实践的可能性呈正相关。报告作者建议把重点放在解释为什么实践有助于潜在地推动更多的采用上。Amélie Koran、Wendy Nather、Stewart Scott 和 Sara Ann Brackett 最近发表的一篇文章证实了这一发现,因为它与 SBOM(软件物料清单)有关。他们指出,由于 SBOM 实践的价值被低估,缺乏明确定义的 SBOM 用例可能会导致采用程度不高。

 

一些受访者质疑生成来源的有用性,这说明需要进一步解释这种实践的好处:


这似乎是一种会带来大量文书工作的方法,并且可以在事后很容易进行回顾——“发生了这些攻击”……但却没有从一开始就阻止攻击的发生。

 

对于生成软件材料清单(SBOM)的有用性,其他受访者也有类似的看法:


这是一种所有人都不喜欢的乏味的文书工作,开发者不喜欢(因为他们必须编写内容,并可能为随机依赖项做出辩护),管理层不喜欢(因为这会导致延迟和不愉快的开发),甚至是法务人员也不喜欢(因为它有可能将意外侵权变成故意侵权)。尽管如此,谨慎对待依赖项似乎是降低供应链攻击风险的唯一好方法。

 

受访者表示,一些 SLSA 实践,例如封闭式构建,比其他实践更难被采用。调查发现,可感知的实践难度与组织是否采用实践之间没有相关性。

 

因为调查结果与采用相关,所以它与最近发布的谷歌2022年Accelerate DevOps状态报告密切一致。该报告还关注供应链安全,并同时使用了 SLSA 框架和 NIST 的安全软件开发框架(SSDF)。同样,他们发现大多数受访者表示他们至少部分采用了每一种实践。

 

关于最近 SLSA++调查的更多细节可以在OpenSSF博客上找到。SLSA 1.0草案现在也开放给社区评审。

 

原文链接

https://www.infoq.com/news/2023/03/slsa-survey-adoption/


相关阅读:

Snap 首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

RPA 带来 6 位数的人力工时节约,但全民低代码时代还未到来|顺丰供应链的数字化探索与实践


2023-04-07 08:003818

评论

发布
暂无评论
发现更多内容

技术管理者如何获得下属的认同?

石云升

极客时间 1月月更 技术领导力实战笔记

复习前端:前端应掌握的网络知识

devpoint

OSI七层协议 http2 HTTPS协议加密

我们需要怎样的低代码平台

agnostic

低代码

架构误区系列12:一切皆依赖云平台

agnostic

云计算 部署架构

复习前端:JavaScript V8 引擎机制

devpoint

chrome JIT V8

工作这么多年,我总结的数据传输对象 (DTO) 的最佳实践

JAVA旭阳

Java 架构

开源移动核心网Magma架构设计启示

俞凡

架构 网络 通信

【Redis技术专区】「优化案例」谈谈使用Redis慢查询日志以及Redis慢查询分析指南

码界西柚

redis 性能调优 慢查询

【Linux技术专题系列】「必备基础知识」一起探索和实践sftp配置之密钥方式登录

码界西柚

Linux SSH SSH工具 sftp

技术如何分担产品之忧?

石云升

极客时间 1月月更 技术领导力实战笔记

CleanMyMac X2024汉化版安装包新增

茶色酒

CleanMyMac X CleanMyMac X2023

万字长文搞懂产品模式和项目模式

俞凡

团队管理

关于环境变量配置的思考总结

timerring

Go 环境变量

FPGA:硬件描述语言简介

timerring

FPGA

从任务分配角度来看管理

石云升

极客时间 1月月更 技术领导力实战笔记

我总结了写出高质量代码的12条建议

JAVA旭阳

Java

水果软件2024FL Studio中文语言版本下载

茶色酒

FL Studio FL Studio 21

Portraiture2024汉化版磨皮插件下载

茶色酒

Portraiture2023 Portraiture

你知道哈希算法,但你知道一致性哈希吗?

JAVA旭阳

Java 架构

【腾讯云AI】用1行Python代码识别增值税发票,YYDS

程序员晚枫

Python 人工智能 发票 OCR

极客时间运维进阶训练营第十二周作业

9527

JSON.stringify() 的 5 使用场景

devpoint

JavaScript 前端开发 JSON格式化

【PHP】英文博客专栏PHP快速入门个人笔记

懒时小窝

php

会声会影2023和谐版本补丁包下载

茶色酒

会声会影 会声会影2023

2022年终总结-无所吊谓

wood

年终总结 稳定 开心 普通的一年

如何快速优雅的用Know Streaming创建Topic

石臻臻的杂货铺

获取 topic等信息 后端、

CleanMyMac X2024版本值不值得买?

茶色酒

CleanMyMac X CleanMyMac X2023

Studio One2024旗舰级DAW的跨版本升级

茶色酒

Studio One 5 Studio One2023

精华推荐 | 【JVM深层系列】「GC底层调优系列」一文带你彻底加强夯实底层原理之GC垃圾回收技术的分析指南(GC原理透析)

码界西柚

Java JVM JVM原理 2023

Python 内置界面开发框架 Tkinter入门篇 甲

eng八戒

Python GUI tkinter

CleanMyMacX4.12.2最新版本更新下载

茶色酒

CleanMyMacX

供应链实践调查报告:可感知的实践有用性与采用程度相关_语言 & 开发_Matt Campbell_InfoQ精选文章