赐与链理论查询拜访陈述：可感知的理论有用性与摘用水平相关

做者 | Matt Campbell

译者 | 明知山

筹谋 | 丁晓昀

比来一项关于赐与链平安理论的查询拜访发现，虽然一些理论已被普遍摘用，但关键性理论的摘用却是滞后的。该查询拜访基于软件工件赐与链品级（Supply-chain Levels for Software Artifacts，SLSA）框架停止。查询拜访陈述指出，关键理论，如生成来源，在摘用方面是滞后的。查询拜访还发现，人们认为理论的有用性与该理论的摘用高度相关。

SLSA 是一个开源的平安框架，供给与赐与链平安相关的原则和掌握。它提出了一些预防和减轻软件赐与链进攻的平安理论。那些理论分为四个品级——从完全脚本化的构建到封锁的、可重用的构建。那项查询拜访包罗了受访者对那些理论的摘用、难度和感知有用性的反应。

部门软件赐与链平安理论摘用水平（来源：OpenSSF）

查询拜访成果表白，一些理论已被普遍地摘用。例如，超越 50% 的受访者表达，他们老是会利用集中式的构建办事。别的两个常用的理论是暂时性构建和隔离性构建。

然而，供给来源（被认为是 SLSA 一级所需的关键相关理论）在摘用方面却是滞后的。来源是关于若何构建工件的元数据，包罗所有权、来源、依靠项和构建过程的信息。

陈述指出，受访者认为理论的有用性水平确实与摘用该理论的可能性呈正相关。陈述做者定见把重点放在阐明为什么理论有助于潜在地鞭策更多的摘用上。Amélie Koran、Wendy Nather、Stewart Scott 和 Sara Ann Brackett 比来颁发的一篇文章证明了那一发现，因为它与 SBOM（软件物料清单）有关。他们指出，因为 SBOM 理论的价值被低估，欠缺明白定义的 SBOM 用例可能会招致摘用水平不高。

一些受访者量疑生成来源的有用性，那阐明需要进一步阐明那种理论的益处：

那似乎是一种会带来大量文书工做的办法，而且能够在过后很随便停止回忆——“发作了那些进攻”……但却没有从一起头就阻遏进攻的发作。

展开全文

那似乎是一种会带来大量文书工做的办法，而且能够在过后很随便停止回忆——“发作了那些进攻”……但却没有从一起头就阻遏进攻的发作。

关于生成软件素材清单（SBOM）的有用性，其他受访者也有类似的观点：

那是一种所有人都不喜好的乏味的文书工做，开发者不喜好（因为他们必需编写内容，并可能为随机依靠项做出辩解），治理层不喜好（因为那会招致延迟和不愉快的开发），以至是法务人员也不喜好（因为它有可能将不测侵权酿成有意侵权）。虽然如斯，隆重看待依靠项似乎是降低赐与链进攻风险的独一好办法。

那是一种所有人都不喜好的乏味的文书工做，开发者不喜好（因为他们必需编写内容，并可能为随机依靠项做出辩解），治理层不喜好（因为那会招致延迟和不愉快的开发），以至是法务人员也不喜好（因为它有可能将不测侵权酿成有意侵权）。虽然如斯，隆重看待依靠项似乎是降低赐与链进攻风险的独一好办法。

受访者表达，一些 SLSA 理论，例如封锁式构建，比其他理论更难被摘用。查询拜访发现，可感知的理论难度与组织能否摘用理论之间没有相关性。

因为查询拜访成果与摘用相关，所以它与比来发布的谷歌 2022 年 Accelerate DevOps 形态陈述密切一致。该陈述还存眷赐与链平安，并同时利用了 SLSA 框架和 NIST 的平安软件开发框架（SSDF）。同样，他们发现大大都受访者表达他们至少部门摘用了每一种理论。

关于比来 SLSA++ 查询拜访的更多细节能够在 OpenSSF 博客上找到。SLSA 1.0 草案如今也开放给社区评审。

原文链接：

/

相关阅读：

Snap 首席信息平安官：我给软件赐与链风险打 9.9 分（满分 10 分）()

RPA 带来 6 位数的人力工时节约，但全民低代码时代还未到来｜顺丰赐与链的数字化摸索与理论 ()

声明：本文为 InfoQ 翻译，未经答应制止转载。

点击底部阅读原文拜候 InfoQ 官网，获取更多超卓内容！

今日好文选举

谷歌正式发布WebGPU！90多位奉献者研发6年，阅读器末于能够操纵底层硬件了

新手用ChatGPT仅需数小时轻松构建零日破绽，69家专业公司都检测不出来：“不只能挪用开源库，还能彻底重写源代码”

揭秘 ChatGPT 背后的手艺栈：OpenAI 若何将 Kubernetes 扩展到了 7500 个节点

从8000元起步到年产值超800亿，躲在郊县里的农牧数字化摸索者