Die Open Source Security Foundation (OpenSSF) hat die Version 1.0 des Supply-chain Levels for Software Artifacts (SLSA) veröffentlicht.

SLSA (sprich Salsa) bietet als OpenSSF-Projekt Software Supply Chain Security Spezifikationen für die Sicherheit der Software-Lieferkette bereitstellt, die durch Community-Experten festgelegt wurden. Das SLSA-Framework sei in Stufen mit zunehmender Sicherheitsstrenge gegliedert. Es soll damit gewährleistet sein, dass Software nicht manipuliert wurde und sich sicher zu ihrer Quelle zurückverfolgen lasse.

“Die OpenSSF arbeitet hart daran, mehr Strenge in den Softwareentwicklungsprozess zu bringen”, sagte Brian Behlendorf, General Manager der OpenSSF.

SLSA biete ein gemeinsames Vokabular, um über die Software Supply Chain Security zu sprechen und ziele darauf ab, ein umfassendes Framework dafür zu schaffen. Version SLSA v1.0 stelle eine konzeptionelle Änderung dar, indem die SLSA-Anforderungen in mehrere Tracks unterteilt werden, wobei sich jeder Track auf einen Bereich der Software-Lieferkette konzentriert, etwa Build, Source und Abhängigkeiten. Zuvor habe es nur einen einzigen Track gegeben. Die neue Aufteilung solle die Einführung von SLSA für Benutzer einfacher machen.

Der Beitrag KubeCon & CloudNativeCon Europe: OpenSSF veröffentlicht SLSA 1.0 erschien zuerst auf Linux-Magazin.

Amazon, Microsoft, Google und andere wollen das Problem der IT-Security vor allem mit Geld lösen. 30 Millionen US-Dollar dafür stehen schon.

Mit dem Kollaborationsprojekt der Open Source Security Foundation (OpenSSF) wollen Größen der IT-Industrie ihre Security-Praxis vereinheitlichen und so die Open-Source-Welt besser absichern. Ein dafür vorgestellter Zehn-Punkte-Plan der OpenSSF soll im Laufe der kommenden zwei Jahre eine Finanzierungssumme von etwa 150 Millionen US-Dollar dafür umfassen, wie die Organisation mitteilt.

Eine erste Tranche der geplanten Summe stammt dabei von frühen Unterstützern der OpenSSF. Dazu zählen laut Ankündigung Amazon, Ericsson, Google, Intel, Microsoft, und VMware, die dafür zunächst gemeinsam 30 Millionen US-Dollar bereitstellen wollen. Dazu heißt es weiter: “Im Zuge der weiteren Entwicklung des Plans werden weitere Finanzmittel ermittelt, und die Arbeit wird in dem Maße beginnen, wie die einzelnen Finanzströme vereinbart werden.”

Zu den Maßnahmen des Zehn-Punkte-Plans gehören unter anderem eine bessere Ausbildung für die Security, der Aufbau einer Risiko-Analyse für Tausende Open-Source-Komponenten, das Ausrollen digitaler Signaturen für Veröffentlichungen sowie der Ersatz bestehender Komponenten in einer Sprache mit Speichersicherheit. Letzteres wird derzeit bereits von Google vorangetrieben, etwa über ein Rust-Modul für den Apache-Webserver, Rustls oder Rust im Linux-Kernel.

Die OpenSSF setzt außerdem auf Code-Scanning oder das Absichern der sogenannten Software-Supply-Chain, was Paketmanager wie NPM umfasst. Ein großer Teil der Arbeiten wird dabei nicht von der Organisation selbst umgesetzt, sondern von deren Mitgliedsunternehmen. So hat Google eine Open Source Maintenance Crew angekündigt, die gemeinsam mit den Upstream-Projekten an deren Sicherheit arbeiten soll.

Der Beitrag OpenSSF: 150 Millionen US-Dollar sollen Open Source absichern erschien zuerst auf Linux-Magazin.