AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

供应链实践调查报告:可感知的实践有用性与采用程度相关

  • 2023-04-07
    北京
  • 本文字数:1217 字

    阅读完需:约 4 分钟

供应链实践调查报告:可感知的实践有用性与采用程度相关

最近一项关于供应链安全实践的调查发现,尽管一些实践已被广泛采用,但关键性实践的采用却是滞后的。该调查基于软件工件供应链等级(Supply-chain Levels for Software Artifacts,SLSA)框架进行。调查报告指出,关键实践,如生成来源,在采用方面是滞后的。调查还发现,人们认为实践的有用性与该实践的采用高度相关。

 

SLSA 是一个开源的安全框架,提供与供应链安全相关的标准和控制。它提出了一些预防和减轻软件供应链攻击的安全实践。这些实践分为四个等级——从完全脚本化的构建到封闭的、可重用的构建。这项调查包含了受访者对这些实践的采用、难度和感知有用性的反馈。

 


部分软件供应链安全实践采用程度(来源:OpenSSF

 

调查结果表明,一些实践已被广泛地采用。例如,超过 50%的受访者表示,他们总是会使用集中式的构建服务。另外两个常用的实践是临时性构建和隔离性构建。

 

然而,提供来源(被认为是 SLSA 一级所需的关键相关实践)在采用方面却是滞后的。来源是关于如何构建工件的元数据,包括所有权、来源、依赖项和构建过程的信息。

 

报告指出,受访者认为实践的有用性程度确实与采用该实践的可能性呈正相关。报告作者建议把重点放在解释为什么实践有助于潜在地推动更多的采用上。Amélie Koran、Wendy Nather、Stewart Scott 和 Sara Ann Brackett 最近发表的一篇文章证实了这一发现,因为它与 SBOM(软件物料清单)有关。他们指出,由于 SBOM 实践的价值被低估,缺乏明确定义的 SBOM 用例可能会导致采用程度不高。

 

一些受访者质疑生成来源的有用性,这说明需要进一步解释这种实践的好处:


这似乎是一种会带来大量文书工作的方法,并且可以在事后很容易进行回顾——“发生了这些攻击”……但却没有从一开始就阻止攻击的发生。

 

对于生成软件材料清单(SBOM)的有用性,其他受访者也有类似的看法:


这是一种所有人都不喜欢的乏味的文书工作,开发者不喜欢(因为他们必须编写内容,并可能为随机依赖项做出辩护),管理层不喜欢(因为这会导致延迟和不愉快的开发),甚至是法务人员也不喜欢(因为它有可能将意外侵权变成故意侵权)。尽管如此,谨慎对待依赖项似乎是降低供应链攻击风险的唯一好方法。

 

受访者表示,一些 SLSA 实践,例如封闭式构建,比其他实践更难被采用。调查发现,可感知的实践难度与组织是否采用实践之间没有相关性。

 

因为调查结果与采用相关,所以它与最近发布的谷歌2022年Accelerate DevOps状态报告密切一致。该报告还关注供应链安全,并同时使用了 SLSA 框架和 NIST 的安全软件开发框架(SSDF)。同样,他们发现大多数受访者表示他们至少部分采用了每一种实践。

 

关于最近 SLSA++调查的更多细节可以在OpenSSF博客上找到。SLSA 1.0草案现在也开放给社区评审。

 

原文链接

https://www.infoq.com/news/2023/03/slsa-survey-adoption/


相关阅读:

Snap 首席信息安全官:我给软件供应链风险打 9.9 分(满分 10 分)

RPA 带来 6 位数的人力工时节约,但全民低代码时代还未到来|顺丰供应链的数字化探索与实践


2023-04-07 08:003862

评论

发布
暂无评论
发现更多内容

作为打工人,如何正确的选择自动化测试工具(完全指南)

软测小生

软件测试 测试 软件自动化测试 测试工具 测试开发

架构师训练营 -week06-总结

大刘

极客大学架构师训练营

打破内卷化,AppGallery Connect的全生命周期赋能方案

脑极体

产品资讯 | mPaaS 适配 targetSdkVersion 29

蚂蚁集团移动开发平台 mPaaS

移动开发 mPaaS

2020年了,终于有大佬把Java程序员必学知识点总结整理出来了!

Java架构之路

Java 程序员 架构 面试 编程语言

Java-技术专题-Stream流详解

码界西柚

区块链将与人工智能、物联网、云计算技术形成互补

CECBC

人工智能 物联网

C 语言实现一个简单的 web 服务器

C语言与CPP编程

c c++ socket C语言 HTTP

第2周 框架设计-作业

SuGeek

一周信创舆情观察(10.19~10.25)

统小信uos

花费6个月的时间,五面阿里java岗,最后竟然差点倒在最后HR面?

Java架构追梦

Java 学习 编程 架构 面试

【Java面试官】我管你什么P7、P8?答不出这十道题你就是渣!

Java架构师迁哥

人少钱少需求多的新项目该怎么带?看到这篇我心里有底了!

华为云开发者联盟

技术 运维 后端

架构师训练营第二周作业

李日盛

架构

年末成功上岸腾讯T3-2,全凭这份业内跪求的Java核心笔记

小Q

Java 学习 架构 面试 程序猿

Java-技术专题-JDK8新特性之Stream流

码界西柚

苏州高铁新城打造区块链发展聚集地

CECBC

区块链 智能合约 金融

训练营第二周作业

大脸猫

极客大学架构师训练营

【JSRC小课堂】Web安全专题(四)SRC漏洞挖掘技术之命令执行漏洞

京东科技开发者

WEB安全

十个写代码的小技巧,保你在面试过程中脱颖而出

Java架构师迁哥

首个通用安全技术行业标准发布适用于区块链技术架构 但监管仍待完善

CECBC

金融 安全技术

接口工具使用对比(apipost、jmeter、postman、swagger等)

测试人生路

Jmeter Postman 接口测试

阿里P8大牛2020年总结整理的心血之作:17W字操作系统、网络协议教程、面试真题(附导图+笔记)

Java架构之路

Java 程序员 架构 面试 编程语言

“绝影”机器狗如何利用ModelArts强化学习算法更改导航轨迹

华为云开发者联盟

人工智能 机器狗 导航

架构训练营 - 第6周课后作业 - 学习总结

Pudding

阿里技术四面+交叉面+HR面成功拿到offer,谁说双非本科进不了大厂?

Java架构之路

Java 程序员 架构 面试 编程语言

Appium常用操作之「元素定位、swipe 滑屏操作」

清菡软件测试

训练营第二周总结

大脸猫

极客大学架构师训练营

技术实践丨PostgreSQL插件之pg_dirtyread "闪回查询"

华为云开发者联盟

数据库 后端

2020中国系统架构师大会活动回顾:ZEGO实时音视频服务架构实践

ZEGO即构

架构设计 RTC

架构师训练营 - 第 6 周课后作业(1 期)

Pudding

供应链实践调查报告:可感知的实践有用性与采用程度相关_语言 & 开发_Matt Campbell_InfoQ精选文章