TILLBEHÖR

Hur Microsoft kommer att publicera data för att anpassa sig till statlig ordning på programfaktura för leveranser

windows-11-security-1.jpgIllustration: Lisa Hornung/TechRepublic

När du väl har installerat ett program är du säker på att det är kod du kanske tror? Det finns så många frågor vi måste ställa: har du lärt dig hur programvaran köptes till dig, hur den konstruerades och vilket program från tredje part som fungerar under huven?

SER: Google Workspace vs. Microsoft 365: En sida vid sida utvärdering med riktlinjer (TechRepublic Premium)

Bör läsa säkerhetsskydd

För närvarande är syftena en del av en programvarukedja, en som sträcker sig ner till open source-gruppen och upp till storskaliga plattformar för stadig integration/stabil förbättring. Det är en svårighet som har satts till skarp hjälp vid nuvarande tillfällen: användningen av en komprometterad konstruktionskurs för att placera en dörr igen inom Photo Voltaic Winds administrationsplattform tidigare än att attackera sina prospekts program och kapningen av diverse bibliotek med öppen källkod för att , bland olika angrepp, konstruera kryptominers för att stjäla din energi och CPU.

Finska kunder hade ingen idé om att de har använt komprometterade program. Så långt de har varit inblandade var detta autentisk kod från autentiska källor. Det var kod som de litade på för att vara säker. Men utan insyn i hur programmet konstruerades, fanns det ingen teknik för att veta att det programmet inte skulle lita på. Programvaran vi använder är konstruerad av många alternativa element, och använder alla delar från containerbasfoton för att konstruera skript.

Förstå programvaran tillhandahålla kedja för att skydda den

Vi känner alla till leveranskedjorna som skickar våra materialartiklar, och vi vidtar åtgärder för att skydda dem. Det finns världsomspännande juridiska riktlinjer och riktlinjer som styr hur föremål rör sig mellan fabriker och över gränser, med certifieringar och tullpapper för att spåra hur de överförs och i händelse av att de uppfyller kraven. Men vi gör inte det för program, vi ställer bara upp det och använder det för att driva våra företag.

För 12 månader sedan utfärdade den amerikanska regeringen en verkställande order som syftade till att få {industrin} att arbeta för att skydda programvarans tillhandahållandekedja, vilket krävde en Software Program Invoice of Supplies (SBOM) för alla ändamål som erbjuds den amerikanska federationen myndigheterna. Det är en komplett beställning, avsedd att skicka tips om rätt sätt att förbättra och säkra mjukvarukedjan. Avsikten är att införa processer som sätter programvaruutveckling på samma grund som olika ingenjörsdiscipliner.

Microsoft har använt programmanifester internt under en mycket lång tid, vilket gör det möjligt för den att hålla koll på de olika elementen och modulerna som används för att konstruera sitt program. Det arbetet ledde till att konsortiet för data- och mjukvaruprogrammet High qualitys Instrument-to-Instrument SBOM-arbetsgrupp konstruerade en branschöverskridande sedvänja för att dela denna data med potentiella kunder och följeslagare. Medan arbetet var ganska överlägset, var det inte den enda SBOM-plattformen under förbättringen.

På grund av de amerikanska myndigheternas order slår Microsoft och resten av konsortiet samman sitt arbete med Linux Basiss relaterade utmaning. Det är en del av ISO som är brukligt för öppen källkodslicens, som har utformats för att dela alla licenser som medföljer en programvara med slutkunder. Att bifoga licensdata till en SBOM är meningsfullt, eftersom det tillåter dig att se vilken licens som gäller för vilken del som använder ett maskinläsbart manifest som är konstruerat med Software Package Data Exchange (SPDX).

Arbetar med SPDX för att konstruera en SBOM

Medan SPDX inte är rättvist det instrument som föreslagits av de amerikanska myndigheternas Nationwide Telecommunications and Data Administration, är det väldigt nära det och kan användas för att hantera många av de preliminära nödvändigheterna och borde helt enkelt skräddarsys för att uppfylla de återstående. Tidigare är det det vanligaste SBOM-instrumentet som används och kommer helt enkelt att byggas in i de flesta programvaruförbättringsmiljöer, med en uppsättning relevanta instrument med öppen källkod. Licensefterlevnad kan ha drivit händelsen av SPDX, men eftersom det kräver att du förstår vilket program du använder och platsen det är från det måste helt enkelt kunna utökas till att inkludera olika verifieringar, liknande digitala signaturer och hash, som tillåter dig att konstruera en SBOM som täcker binärfiler och olika programvaruartefakter förutom leveranskod.

SER: Anställningspaket: Again-end utvecklare (TechRepublic Premium)

Microsoft har överfört sitt inre manifestverktyg från sina personliga codecs till SPDX för att anpassa sig till NTIA-behoven och chefsordningen. Resultatets verktyg som genererar en JSON SBOM-fil för varje konstruktion. Det gör det inte bara för myndigheters perspektiv, det gör det för alla sina program. I hjärtat av dess SPDX-implementering är en kartläggning av det viktiga NTIA SOM-fälten till SPDX, så till exempel, den plats som NTIA ber om en delidentifiering, använder Microsoft SPDX-implementeringen SPDX-paketet identifiera ämne. Det innebär dessutom att göra fält som leverantörsidentifiering, paketavtalsmodell, paketkontraktskontrollsumma och relation obligatoriska där SPDX behandlar dem som valfritt tillgängliga, vilket tillåter Microsoft att skicka en så detaljerad SBOM som möjligt.

Att implementera detta kan vara ett stort jobb för Microsoft. Den producerar runt en halv miljon byggnationer om dagen, i hela Home windows, Mac, Linux, Android, iOS och extra. Så, att producera en SBOM måste vara datoriserad, för alla officiella builds (ta en titt på och förbättringsbyggen som inte försvinner som eventlabbet fick vill inte ha en SBOM). Det måste vara en del av alla CI/CD-konstruktionspipelines, som levererar SBOM tillsammans med resten av konstruktionsartefakterna.

Resultatet är ett plattformsoberoende instrument som inte enbart identifierar industriella programvaruprogramelement, det upptäcker och identifierar dessutom element med öppen källkod från de flesta typiska programvaruförråd, som dess personliga NuGet eller det favoriserade JavaScript NPM-förrådet, och fungerar till och med med språk som Go och Rust, förutom syften som har sina alldeles egna Git-förråd.

Den efterföljande SBOM har varje SHA256- och SHA1-hash för kod, som går över och förbi NTIA-specifikationen, och de efterföljande registerdata har sina alldeles egna digitala signaturer för ökad säkerhet. Den spårar till och med konstruktionssystemet som används, med en signatur som kodar konstruktionskörningen. Slutligen kontrolleras utdata från en konstruktion i motsats till SBOM, och om det finns några avvikelser startas inte det efterföljande programmet som togs emot – vilket hindrar komprometterad kod från att fungera i företag som Azure.

Konstruera dina individuella SBOM för mer än säkra program

Det finns många värden i att förstå programvarans kedja, och det är inte bara ett säkerhetsproblem – det kan förmodligen lösa punkter i att bygga och upprätthålla företagsrelationer. Att ha en offentlig SBOM för en sak som finns allestädes närvarande som Phrase går till för att förbättra relationerna mellan leverantörer och deras framtidsutsikter. Att be om ursprungsbevis för programvara kommer snabbt att bli en del av alla avtalsförhandlingar, vilket tjänar till att företag hanterar faror extra framgångsrikt. Med en SBOM insatt bredvid ditt program har du möjligheten att korsa den tillsammans med resten av den obligatoriska dokumentationen.

Det är bäst att ha möjligheten att generera din individuella SBOM till ditt personliga skräddarsydda program, med hjälp av samma verktyg som Microsoft i Visible Studio. Microsoft har nämnt att det kommer att öppna leveranser av dess SPDX-verktyg, som kan låta dig använda den i alla CI/CD-instrument och i vilken IDE som helst. Det identiska instrumentet som finns i Visible Studio för .NET kan finnas i Android Studio för Android eller i XCode för iOS. Det är en gigantisk vinst för hela {industrin}, eftersom organisationer förlänger SPDX-plattformen och ger oss en plattformsoberoende branschstandardmetod för att förstå den mer och mer komplicerade världen av programvarans tillhandahållandekedja.

Botón volver arriba

Ad blocker detected

You must remove the AD BLOCKER to continue using our website THANK YOU