SLSA 1.0 moet gaan zorgen voor een standaardtaal voor software supply chain security. Het project is volgens OpenSSF met de eerste stabiele versie een belangrijke mijlpaal in de beveiliging van softwareontwikkeling.
De Open Source Security Foundation (OpenSSF) werd gelanceerd in 2020 door de Linux Foundation. Zoals de naam suggereert, hoopt het initiatief op de brede standaardisering van security-maatstaven op open-source basis.
Men dient SLSA uit te spreken als ‘salsa’. Het project is georganiseerd op basis van verschillende ‘levels’. Elk security-niveau stelt de mate van veiligheid bij softwareontwikkeling voor. Zo kan men voorkomen dat er geknoeid is met de software en de bron bekend is. Dat is wat men bedoelt met de zogeheten supply chain: de verzameling van onder andere componenten, processen en libraries die samen het construeren van software mogelijk maken. Hiertussen is veel interactie, en cyber-aanvallen proberen vaak kwetsbaarheden in deze communicatiestromen te exploiteren.
Opgedeeld
Daar waar veel softwareleveranciers momenteel allerlei diensten proberen samen te voegen, hanteert de OpenSSF een andere methode. Als stichting heeft het als doelstelling een gemeenschappelijke taal te ontwikkelen om over supply chain security te spreken. Dit houdt in dat de betekenis van vaktermen gestandaardiseerd zijn en er een concrete checklist bestaat van veiligheidsnormen. Om dit te bewerkstelligen, kiest OpenSSF ervoor om zich op één gebied te concentreren.
De ‘Build Track’ is het hoofdpunt van SLSA 1.0. In de toekomst mag men Source- en Dependency-tracks verwachten, die zich concentreren op andere aspecten van het softwareproductieproces. De Build Track moet de basis gaan vormen voor latere updates, waardoor een steeds groter gedeelte van de supply chain gedekt is.
Nuttig
Wie profiteert er van het in gebruik nemen van SLSA? Allereerst kan versie 1.0 uitermate nuttig zijn voor softwareproducenten. Deze teams ontvangen van OpenSSF nu tools om te controleren of ze zich voldoen aan de gestelde veiligheidsnormen. Dit geeft producenten de kans om aan klanten te bewijzen dat de software op zwaktes gecontroleerd is. Zeker gewenst in tijden van onzekerheid bij de open-source gemeenschap. Door nieuwe EU-wetgeving zou het zomaar kunnen dat open-source developers verantwoordelijk worden gehouden voor security-zwaktes in commerciële software.
Vervolgens stelt OpenSSF dat SLSA consumenten beschermt. Men kan op hun beurt controleren bij een ontwikkelaar of ze wel aan de normen voldoen.
Ten slotte stipt de groep aan wat het nut van SLSA kan zijn voor infrastructuur-providers. Als brug tussen softwareproducent en consument zorgen zij voor de supply chain, en kan het dus nodig worden om te bewijzen dat ook zij security hoog in het vaandel hebben.
14 uur geleden
