OSC&R (Referensi Serangan Rantai Pasokan Perangkat Lunak Terbuka) adalah kerangka kerja sumber terbuka yang digunakan untuk memahami dan menilai ancaman yang ada terhadap seluruh keamanan rantai pasokan perangkat lunak.

OSC&R dibuat untuk menetapkan bahasa dan struktur standar untuk memahami dan mengevaluasi taktik, teknik, dan prosedur (TTP) yang digunakan oleh penyerang untuk menembus keamanan rantai pasokan perangkat lunak.

Tujuannya adalah untuk menyediakan komunitas keamanan dengan sumber daya terpadu untuk pra-evaluasi pendekatan mereka sendiri untuk mengamankan rantai pasokan perangkat lunak dan membandingkan solusi, menurut anggota pendiri kerangka kerja.

“Dalam sebuah episode Star Trek, saat menangani kerentanan Enterprise terhadap pelaku ancaman, Mr. Spock berkata, ‘Fakta yang tidak memadai selalu mengundang bahaya, Kapten!’ Hal yang sama juga berlaku dalam keamanan siber, di mana kurangnya informasi meningkatkan kerentanan. Dengan meningkatkan pengetahuan komunitas, OSC&R memiliki potensi besar untuk memitigasi bahaya rantai pasokan perangkat lunak dan mengurangi permukaan serangan secara lebih luas,” kata Dineshwar Sahni, direktur keamanan produk di VISA , yang juga baru saja bergabung dengan konsorsium pemimpin keamanan siber di balik OSC&R.

OSC&R dapat digunakan oleh tim keamanan untuk menilai pertahanan yang ada, menentukan ancaman mana yang diprioritaskan dan bagaimana cakupan yang ada mengatasi ancaman tersebut, serta membantu melacak perilaku kelompok penyerang.

Proyek ini ditambahkan ke GitHub awal pekan ini dan baru-baru ini didukung oleh mantan Direktur Badan Keamanan Nasional AS, Laksamana Mike Rogers.