压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

為了應(yīng)對(duì)不斷升級(jí)的軟件供應(yīng)鏈安全威脅，Google近日推出了一個(gè)軟件供應(yīng)鏈安全框架——SLSA。

熟練的攻擊者們已經(jīng)發(fā)現(xiàn)軟件供應(yīng)鏈才是軟件行業(yè)的軟肋。除了改變游戲規(guī)則的SolarWinds供應(yīng)鏈攻擊之外，Google還指出了最近的Codecov供應(yīng)鏈攻擊，甚至網(wǎng)絡(luò)安全公司Rapid7也成了受害者。

Google將SLSA描述為“用于確保整個(gè)軟件供應(yīng)鏈中軟件工件完整性的端到端框架”。

SLSA以Google內(nèi)部的“Borg二進(jìn)制授權(quán)”(BAB)為主導(dǎo)——Google八年來(lái)一直使用這一流程來(lái)驗(yàn)證代碼出處和實(shí)現(xiàn)代碼身份。

Google在一份白皮書(shū)中指出，BAB的目標(biāo)是通過(guò)確保部署在Google的生產(chǎn)軟件得到適當(dāng)審查來(lái)降低內(nèi)部風(fēng)險(xiǎn)，特別是當(dāng)這些代碼可以訪問(wèn)用戶數(shù)據(jù)時(shí)。

Google的開(kāi)源安全團(tuán)隊(duì)的專(zhuān)家指出：“SLSA的目標(biāo)是改善軟件行業(yè)安全狀況，尤其是開(kāi)源軟件，以抵御最緊迫的完整性威脅。通過(guò)SLSA，消費(fèi)者可以對(duì)他們使用的軟件的安全狀況做出明智的選擇?！?/p>

SLSA希望鎖定軟件開(kāi)發(fā)鏈中的所有內(nèi)容，從開(kāi)發(fā)人員到源代碼、開(kāi)發(fā)平臺(tái)和CI/CD系統(tǒng)、以及包存儲(chǔ)庫(kù)和依賴(lài)項(xiàng)。

依賴(lài)性是開(kāi)源軟件項(xiàng)目的主要弱點(diǎn)。2月，Google為關(guān)鍵的開(kāi)源軟件開(kāi)發(fā)提出了新協(xié)議，該協(xié)議需要兩個(gè)獨(dú)立方的代碼審查，并且維護(hù)人員需要使用雙因素身份驗(yàn)證。

Google認(rèn)為更高的SLSA級(jí)別將有助于防止類(lèi)似SolarWinds的軟件供應(yīng)鏈攻擊，以及防范CodeCov攻擊。

雖然SLSA框架目前只是一套指導(dǎo)方針，但Google預(yù)計(jì)其最終將提供超過(guò)最佳實(shí)踐的可執(zhí)行性。

“它將支持自動(dòng)創(chuàng)建可審計(jì)的元數(shù)據(jù)，這些元數(shù)據(jù)可以輸入到策略引擎中，從而為特定的包或構(gòu)建平臺(tái)提供SLSA認(rèn)證?！盙oogle指出。

SLSA分為四個(gè)級(jí)別，其中第四級(jí)別是所有軟件開(kāi)發(fā)過(guò)程都受到保護(hù)的理想狀態(tài)，如下圖所示：

來(lái)源：安全牛