How are We Doing with Adopting Tasks to Reduce Software Supply Chain Security Risk?

Angriffe auf die Software-Lieferkette haben in den letzten drei Jahren jährlich um über 700 % zugenommen. Softwareunternehmen hatten größtenteils nicht damit gerechnet, dass die Softwarelieferkette zu einem absichtlichen Angriffsvektor werden würde. Die Softwareindustrie hat sich von passiven Gegnern, die Schwachstellen suchen und ausnutzen, die von wohlmeinenden Entwicklern wie log4j stammen, zu einer neuen Generation von Software-Supply-Chain-Angriffen entwickelt, bei denen Angreifer Schwachstellen auch aggressiv direkt in Abhängigkeiten implantieren (z. B. die Protestware von Node-Protect). ipc). Angreifer finden auch ihren Weg in Builds und Bereitstellungen, beispielsweise bei SolarWinds, um betrügerische Software bereitzustellen. Sobald diese Schwachstellen implantiert sind, werden sie zu einem effizienten Angriffsvektor für Angreifer, die durch Ausnutzung der Software-Lieferkette große Hebelwirkung erzielen können.

Abschnitt 4 der US-amerikanischen Executive Order on Cybersecurity 14028 vom Mai 2021 befasst sich mit der Sicherheit der Software-Lieferkette. Andere Länder und die Europäische Union arbeiten in eine ähnliche Richtung. Organisationen haben einflussreiche Dokumente veröffentlicht, die Aufgaben vorschreiben, die Organisationen übernehmen sollten, um das Software-Lieferkettenrisiko zu reduzieren, darunter NIST Secure Software Development Framework (SSDF) Version 1.1 (800-218), Supply-Chain Levels for Software Artifacts (SLSA) v1.0 und OpenSSF Secure Supply Chain Consumption Framework (S2C2F), Cloud Native Computing Foundation – Software Supply Chain Best Practices und andere. In diesem Vortrag wird das Proactive-Secure Software Supply Chain Risk Management (P-SSCRM)-Modell vorgestellt, das die Zusammenfassung der 72 Aufgaben in neun Dokumenten in den Kategorien Governance, Produkt, Umgebung und Bereitstellung umfasst. In diesem Vortrag werden empirische Ergebnisse zur Übernahme dieser Aufgaben durch Industrieorganisationen präsentiert, die auf Interviews mit Praktikern in Softwareentwicklungsorganisationen basieren.

Biographie

Laurie Williams ist eine angesehene Universitätsprofessorin in der Informatikabteilung des College of Engineering der North Carolina State University (NCSU). Laurie ist Direktorin des von der National Science Foundation geförderten Secure Software Supply Chain Center (S3C2) und Co-Direktorin des von der National Security Agency (NSA) geförderten Science of Security Lablet an der NCSU, der von der NSA geförderten North Carolina Partnership for Cybersecurity Excellence (NC-PaCE) und das NCSU Secure Computing Institute. Laurie ist IEEE Fellow und ACM Fellow. Lauries Forschungsschwerpunkte sind Softwaresicherheit, Softwareprozesse und empirisches Software-Engineering.

Keynote: Laurie Williams (USA)