Günümüzde yazılım tedarik zinciri güvenliği, gpg.fail gibi olaylarla sürekli gündemde kalmaya devam ediyor ve bu durum, yaygın olarak güvenilen bağımlılıklarda bile güvenlik açıklarının bulunabileceğini gösteriyor. Determinate Systems, bu kritik soruna yönelik olarak "Determinate Secure Packages" adında yeni bir ürününü duyurdu. Bu hizmet, Nixpkgs'in belirli bir paket alt kümesi için genişletilmiş güvenlik özellikleri sunuyor.
Determinate Secure Packages, Ortak Güvenlik Açıkları ve Tehditleri (CVE) izleme ve yama uygulama süreçlerini Hizmet Seviyesi Anlaşmaları (SLA) ile destekliyor. Ayrıca Grype ile sık güvenlik taramaları, CycloneDX formatında yazılım malzeme listeleri (SBOM'lar), düzenlenmiş ortamlar için Federal Bilgi İşleme Standartları (FIPS) uyumlu paketler ve insan dostu güvenlik raporları gibi özellikler içeriyor. Tüm paketler kriptografik olarak imzalanıyor ve SOC 2 Tip II altyapısı üzerinde oluşturulup önbelleğe alınıyor. Hizmet, Rust, Go, Python, Node.js, PostgreSQL gibi temel dilleri ve araçları, ayrıca systemd gibi altyapı düzeyindeki paketleri kapsayan 1.000'den fazla paketi içeriyor. Müşteri ihtiyaçlarına göre yeni paketler de eklenebiliyor.
SLA'lar, CVE'lerin ciddiyetine göre belirli yanıt süreleri sunuyor: kritik açıklar için 24 saat içinde ilk yanıt ve 7 gün içinde çözüm, yüksek önemdekiler için 72 saat içinde ilk yanıt ve 15 gün içinde çözüm taahhüt ediliyor. Orta ve düşük önemdeki açıklar için de sırasıyla 45 ve 90 günlük yanıt süreleri mevcut. Kullanıcılar, flake referanslarını güncellemeleri gerektiğinde uyarılar alacak ve RSS beslemeleri, Slack ve Discord gibi kanallar aracılığıyla güncellemeleri takip edebilecekler. Bu çözüm, işletmelerin kritik altyapılarını çalıştırırken karşılaştığı tedarik zinciri güvenliği zorluklarına kapsamlı bir yanıt sunuyor.
Yazılım tedarik zinciri güvenliğine yönelik kapsamlı bir çözüm sunarak işletmelerin kritik altyapılarındaki güvenlik açıklarını proaktif bir şekilde yönetmelerine olanak tanıyor.