Недавно сообщество PBOM.dev опубликовало новый фреймворк OSC&R (Open Software Supply Chain Attack Reference) техник, тактик и процедур используемых злоумышленниками для атак на цепочку поставки ПО.
Давайте посмотрим подробнее что там есть интересного.
- Техники атак сгруппированы по тема же тактикам, которые использует популярный MITRE ATT&СK.
- По сравнению с MITRE ATT&K, OSC&R содержит гораздо больше техник связанных цепочкой поставки ПО и полностью сфокусирован на этой теме.
- Также фреймфорк позволяет сопоставить техники атакующих с основными мерами защиты
- PBOM
- Container Security
- Open Source Security
- SCM Posture
- Secrets Hygiene
- Code Security
- Cloud Security
- CI/CD Posture
- Artifact Security
- Infrastructure as code
- PBOM (pipeline bill of materials) авторы предлагают рассматривать в качестве альтернативы SBOM (software bill of materials), потому что контроль и анализ безопасности должны проходить не только исходные программные компоненты, но и все артефакты, используемые и создаваемые в рамках конвеера CI/CD.
- Применять OSC&R можно также как и MITRE ATT&СK, а именно:
- отбросить все неприменимые для проекта/продукта техники атак
- для оставшихся убедится что они перекрываются принимаемыми в проекте/продукте мерами защиты
Если у будет интерес, то для подписчиков https://boosty.to/proib могу сделать маппинг между OSC&R и MITRE ATT&СK.
