Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Software Supply Chain Security mit dem SLSA Maturity Model implementieren

SLSA steht für "Supply-chain Levels for Software Artifacts" und ist ein Reifegradmodell, das ursprünglich von Google initiiert wurde, um die Sicherheit von Software-Lieferketten zu verbessern. SLSA bietet eine Reihe von Standards und Sicherheitsmaßnahmen, die zur Verbesserung der Integrität von Software-Artefakten eingesetzt werden können.

Es handelt sich nicht um ein einzelnes Werkzeug, sondern um ein Framework, mit dem der Reifegrad und die Fähigkeit einer Organisation zur Umsetzung von Best Practices bewertet werden können. Der aktuelle Release Candidate v1.0 stellt eine stabile Spezifikation und wird sich in Zukunft nicht wesentlich ändern. Organisationen können auf dieser Basis mit der Implementierung starten.

SLSA richtet sich an Organisationen und Unternehmen, die selbst Software entwickeln oder Software in ihre IT-Infrastruktur integrieren und sich somit vor Angriffen und Schwachstellen in ihrer Lieferkette und ihren IT-Systemen schützen wollen. Das Framework kann von Unternehmen unterschiedlichster Größe und Branche eingesetzt werden.

Die Prozesse der Softwareentwicklung und -bereitstellung sind komplex und bergen viele potenzielle Risiken während des gesamten Arbeitsablaufs von der Erstellung des Quellcodes bis zur Veröffentlichung. Viele große Cyber-Angriffe sind auf Schwachstellen in der Software-Lieferkette zurückzuführen und hätten durch die Implementierung eines SLSA-Frameworks verhindert werden können. Eines der Ziele von SLSA ist es auch, den Automatisierungsgrad in der Softwareentwicklung zu erhöhen.

In diesem Vortrag wird SLSA vorgestellt und erläutert, wie SLSA aufgebaut ist und funktioniert. Darüber hinaus wird SLSA mit anderen Modellen wie z.B. OWAP SAMM (Software Assurance Maturity Model) verglichen. Es wird gezeigt, wie SLSA in der Praxis angewendet werden kann und wie es dazu beiträgt, Software-Lieferketten zu optimieren und abzusichern

Vorkenntnisse

Kenntnisse in der Softwareentwicklung und CI/CD Pipelines

Lernziele

  • Verständnis von SLSA (Supply-chain Levels for Software Artifacts)
  • Integration von SLSA in bestehende Softwareentwicklungsprozesse
  • Reflexion über Vor- und Nachteile

Speaker

 

Mehmet Kus
Mehmet Kus ist Geschäftsführer der OTARIS Interactive Services GmbH und berät Unternehmen und öffentliche Einrichtungen beim Informationssicherheitsmanagement und bei der Umsetzung von Sicherheitsarchitekturen und SSDLC-Prozessen.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden