Microsoft ha anunciado que su Marco de Consumo de la Cadena de Suministro Segura (S2C2F) ha sido adoptado por la Fundación de Seguridad de Código Abierto (OpenSSF) de la Fundación Linux en un movimiento para mejorar "la seguridad de la cadena de suministro para todos", según el CTO de Microsoft Azure, Mark Russinovich.
La adopción del marco por parte de la OpenSSF significa que "la comunidad a la que sirve también puede participar en su crecimiento y mejora", dijo Adrian Diglio, Director Principal del Programa de Cadena de Suministro de Software Seguro de Microsoft.
El gigante de la nube número 2 ha estado utilizando S2C2F en sus propios procesos de desarrollo de software de código abierto (OSS) durante los últimos tres años, y como "consumidor masivo de código abierto y contribuyente al mismo, Microsoft entiende la importancia de una estrategia sólida en torno a la seguridad de cómo los desarrolladores consumen y gestionan las dependencias de OSS cuando construyen software", explicó Russinovich.
Diglio dijo a SDxCentral que Microsoft seguirá liderando el grupo de interés especial dentro de OpenSSF dedicado a S2C2F, y el hiperescalador colaborará con los miembros de OpenSSF y su comunidad para mantener el marco. "También colaboraremos estrechamente con los demás grupos de trabajo de OpenSSF, como el de usuarios finales y el de mejores prácticas, según convenga", dijo Diglio.
El marco centrado en el consumo, que fue adoptado por el Grupo de Trabajo de Integridad de la Cadena de Suministro de la OpenSSF, utiliza un enfoque de reducción de riesgos basado en las amenazas para mitigar las ciberamenazas del mundo real. El marco identifica y enumera las amenazas a la cadena de suministro relacionadas con el OSS y explica cómo sus requisitos abordan las posibles amenazas.
"El consumo de software de código abierto es una de las piezas más grandes de la cadena de suministro de software de cualquier equipo de desarrollo u organización", dijo Diglio, y añadió: "Los requisitos del S2C2F proporcionan claridad para que los equipos de todo el mundo puedan tomar medidas para mejorar la seguridad de cómo consumen el código abierto en el flujo de trabajo del desarrollador."
Sobre SIG S2C2F
El SIG S2C2F es un grupo que trabaja dentro del Grupo de Trabajo de Integridad de la Cadena de Suministro de la OpenSSF, formado para desarrollar y mejorar continuamente la guía S2C2F, que esboza y define cómo consumir de forma segura las dependencias del software de código abierto (OSS) en el flujo de trabajo del desarrollador. Este documento se divide en dos partes: un conjunto de prácticas de solución y una guía de implementación basada en un modelo de madurez. El marco de trabajo está dirigido a las organizaciones que se dedican al desarrollo de software, que asumen una dependencia del software de código abierto y que buscan mejorar la seguridad de su cadena de suministro de software.
Objetivo
El objetivo del SIG S2C2F es desarrollar y mejorar continuamente una guía que proporcione lo siguiente
- Un conjunto de prácticas de alto nivel agnósticas a la solución
- Una lista detallada de requisitos
- Una lista de amenazas a la cadena de suministro en el mundo real, específicas del OSS, y cómo los requisitos de nuestro marco las mitigan
- Una guía de implantación basada en un modelo de madurez, con enlaces a herramientas de todo el sector
- Un proceso para evaluar la madurez de su organización
- Una relación de los requisitos del Marco con otras 6 especificaciones de la cadena de suministro
Fuente: somoslibres
