OSC&R (Open Software Supply Chain Attack Recommendation) est un cadre ouvert permettant de comprendre et d’examiner les dangers pour la sécurité de la chaîne d’approvisionnement des applications logicielles. Il a reçu la recommandation de l’ancien directeur de la NSA américaine, l’amiral Mike Rogers, et est désormais disponible sur GitHub.
Dirigé par OX Security, OSC&R est un framework de type MITRE développé pour fournir un langage et une structure typiques pour comprendre et examiner les techniques, méthodes et traitements (TTP) utilisés par les adversaires pour compromettre la sécurité des chaînes d’approvisionnement des applications logicielles. Il vise à offrir à la communauté de la sécurité un point de référence unique pour évaluer de manière proactive leurs techniques de protection de leurs chaînes d’approvisionnement d’applications logicielles et pour comparer les services.
« Après avoir lancé OSC&R, nous avons été submergés de courriels de personnes traitant avec composants au sein d’OSC&R et souhaitant y contribuer », a déclaré Neatsun Ziv, PDG d’OX Security. « En transférant vers GitHub et en ouvrant le projet aux contributions, nous voulons enregistrer cette compréhension et cette expérience cumulatives au profit de l’ensemble du quartier de la sécurité. Cela offre une réelle valeur à la tâche d’avoir maintenant Mike et Dineshwar dans la communauté. «
« La cybersécurité est un jeu du chat et de la souris », a déclaré Mike Rogers. « Pour prendre l’avantage, il faut construire une excellente conception des risques, et OSC&R permet aux organisations d’identifier les exigences de sécurité, d’identifier les risques de sécurité et les vulnérabilités potentielles, de quantifier l’urgence des risques et des vulnérabilités et de hiérarchiser les approches de remédiation. »
Pour les entreprises qui souhaitent construire un programme de sécurité de la chaîne d’approvisionnement des applications logicielles, le cadre OSC&R peut aider à diriger l’effort. L’OSC&R peut être utilisé par les équipes de sécurité pour examiner les défenses existantes, définir les menaces sur lesquelles se concentrer et comment la couverture actuelle traite ces menaces, ainsi que pour aider à suivre les comportements des groupes d’agresseurs.
Établir des membres de OSC&R partagent un objectif commun d’aider les groupes de sécurité à réduire leur surface d’attaque et à développer leur stratégie de sécurité en toute confiance. « La vitesse, la diversité et la nature dynamique de l’écosystème d’ingénierie moderne ont en fait amélioré le domaine de la sécurité de la chaîne d’approvisionnement logicielle », a déclaré David Cross, ancien responsable de la sécurité cloud de Microsoft et Google et membre fondateur d’OSC&R. « Les outils standardisés sur OSC&R fourniront une connexion et une cohésion qui font souvent défaut à de nombreuses stratégies de sécurité. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
