写点什么

供应链实践调查报告:可感知的实践有用性与采用程度相关

  • 2023-04-07
    北京
  • 本文字数:1217 字

    阅读完需:约 4 分钟

供应链实践调查报告:可感知的实践有用性与采用程度相关

最近一项关于供应链安全实践的调查发现,尽管一些实践已被广泛采用,但关键性实践的采用却是滞后的。该调查基于软件工件供应链等级(Supply-chain Levels for Software Artifacts,SLSA)框架进行。调查报告指出,关键实践,如生成来源,在采用方面是滞后的。调查还发现,人们认为实践的有用性与该实践的采用高度相关。

 

SLSA 是一个开源的安全框架,提供与供应链安全相关的标准和控制。它提出了一些预防和减轻软件供应链攻击的安全实践。这些实践分为四个等级——从完全脚本化的构建到封闭的、可重用的构建。这项调查包含了受访者对这些实践的采用、难度和感知有用性的反馈。

 


部分软件供应链安全实践采用程度(来源:OpenSSF

 

调查结果表明,一些实践已被广泛地采用。例如,超过 50%的受访者表示,他们总是会使用集中式的构建服务。另外两个常用的实践是临时性构建和隔离性构建。

 

然而,提供来源(被认为是 SLSA 一级所需的关键相关实践)在采用方面却是滞后的。来源是关于如何构建工件的元数据,包括所有权、来源、依赖项和构建过程的信息。

 

报告指出,受访者认为实践的有用性程度确实与采用该实践的可能性呈正相关。报告作者建议把重点放在解释为什么实践有助于潜在地推动更多的采用上。Amélie Koran、Wendy Nather、Stewart Scott 和 Sara Ann Brackett 最近发表的一篇文章证实了这一发现,因为它与 SBOM(软件物料清单)有关。他们指出,由于 SBOM 实践的价值被低估,缺乏明确定义的 SBOM 用例可能会导致采用程度不高。

 

一些受访者质疑生成来源的有用性,这说明需要进一步解释这种实践的好处:


这似乎是一种会带来大量文书工作的方法,并且可以在事后很容易进行回顾——“发生了这些攻击”……但却没有从一开始就阻止攻击的发生。

 

对于生成软件材料清单(SBOM)的有用性,其他受访者也有类似的看法:


这是一种所有人都不喜欢的乏味的文书工作,开发者不喜欢(因为他们必须编写内容,并可能为随机依赖项做出辩护),管理层不喜欢(因为这会导致延迟和不愉快的开发),甚至是法务人员也不喜欢(因为它有可能将意外侵权变成故意侵权)。尽管如此,谨慎对待依赖项似乎是降低供应链攻击风险的唯一好方法。

 

受访者表示,一些 SLSA 实践,例如封闭式构建,比其他实践更难被采用。调查发现,可感知的实践难度与组织是否采用实践之间没有相关性。

 

因为调查结果与采用相关,所以它与最近发布的谷歌2022年Accelerate DevOps状态报告密切一致。该报告还关注供应链安全,并同时使用了 SLSA 框架和 NIST 的安全软件开发框架(SSDF)。同样,他们发现大多数受访者表示他们至少部分采用了每一种实践。

 

关于最近 SLSA++调查的更多细节可以在OpenSSF博客上找到。SLSA 1.0草案现在也开放给社区评审。

 

原文链接

https://www.infoq.com/news/2023/03/slsa-survey-adoption/


相关阅读:

Snap 首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

RPA 带来 6 位数的人力工时节约,但全民低代码时代还未到来|顺丰供应链的数字化探索与实践


2023-04-07 08:003787

评论

发布
暂无评论
发现更多内容

Nop平台为什么是一个独一无二的开源软件开发平台

canonical

开源 低代码 开发平台

STM32读取BH1750光照强度数据打印到串口

DS小龙哥

6 月 优质更文活动

阿里内部人手一份的Spring Cloud Alibaba手册

小小怪下士

Java 程序员 SpringCloud springcloudAlibaba

一文快速了解微服务架构

穿过生命散发芬芳

微服务 6 月 优质更文活动

请解释如何实现算法 PERMUTE-BY-SORTING,以处理两个或更多优先级相同的情形。也就是说,即使有两个或更多优先级相同,你的算法也应该产生一个均匀随机排列。

福大大架构师每日一题

福大大 ChatGPT

头部大模型公司进京赶考,向量数据库成为应考神器

Zilliz

Milvus Zilliz AIGC 向量数据库 zillizcloud

pytorch实现前馈神经网络实验(手动实现)

Studying_swz

6 月 优质更文活动

Sentinel 是如何实现资源指标数据统计的

互联网架构师小马

Java sentinel

kubernetes 必知必会 1 - 初识

itschenxiang

百度沈抖:所有产品将基于大模型重构,要做好三大准备

科技热闻

微服务高并发:流量效果控制,经典限流算法

互联网架构师小马

Sentinel的整体工作流程分析

互联网架构师小马

Nautilus Chain全球行分享会,上海站圆满举办

股市老人

2023-06-09:什么是Redis事务?原理是什么?

福大大架构师每日一题

redis 福大大

责任链模式在 Sentinel 中的应用

互联网架构师小马

Java SPI 在 Sentinel 中是如何应用的?

互联网架构师小马

Java sentinel spi

ChatGPT教我用200行代码写一个简版Vue框架 - OpenTiny

Kagol

vue.js 前端 ChatGPT

精进:如何跳出疯狂的忙碌

老张

个人提升 如何解决问题 思维逻辑

限流功能实现原理

互联网架构师小马

MegaOS重磅亮相新华三领航者峰会,助推百行百业全数字化

新消费日报

【零售电商系列】走进亚马逊(三)

小诚信驿站

6 月 优质更文活动

C语言编程—强制类型转换

芯动大师

C语言 强制类型转换 6 月 优质更文活动

android项目问题总结

Studying_swz

6 月 优质更文活动

Redis数据结构:高频面试题及解析

小万哥

nosql redis 面试 后端 中间件

INFINI Labs 产品更新 | Easysearch 新增跨集群复制 (CCR)、支持快照生命周期管理 (SLM) 功能等

极限实验室

搜索引擎 console Gateway agent easysearch

Solaris网络从9家知名投资机构获得5000万美元融资

股市老人

虚拟机安装Ubuntu16并安装Ros(Kinetic)

Studying_swz

6 月 优质更文活动

H5 单双引号问题

Andy

供应链实践调查报告:可感知的实践有用性与采用程度相关_语言 & 开发_Matt Campbell_InfoQ精选文章