为应对软件供应链不断升级的安全威胁,Google最近推出了软件供应链安全框架——SLSA。
熟练的攻击者发现软件供应链是软件行业的弱点。除了改变游戏规则SolarWinds除了供应链攻击,Google最近也指出了Codecov供应链攻击,甚至网络安全公司Rapid7也成了受害者。
Google将SLSA描述为“端到端框架用于确保软件工件在整个软件供应链中的完整性”。
SLSA以Google内部的“Borg二进制授权”(BAB)为主导——Google这个过程已经被用来验证代码的来源和实现代码身份八年了。
Google白皮书指出,BAB确保部署的目标是确保Google适当审查生产软件以降低内部风险,特别是当这些代码可以访问用户数据时。
Google的开源安全团队的专家指出:“SLSA的目标是改善软件行业安全状况,尤其是开源软件,以抵御最紧迫的完整性威胁。通过SLSA,消费者可以明智地选择他们使用的软件的安全性。”
SLSA从开发人员到源代码、开发平台和CI/CD以及包装仓库和依赖项。
依赖性是开源软件项目的主要弱点。Google对于关键的开源软件开发,需要两个独立方的代码审查,维护人员需要使用双因素身份验证。
Google认为更高的SLSA等级将有助于防止类似的类似SolarWinds软件供应链攻击和预防CodeCov攻击。
虽然SLSA框架目前只是一套指导方针,但是Google预计它最终将提供超过最佳实践的可执行性。
“它将支持自动创建可审计的元数据,这些元数据可以输入到策略引擎中,从而为特定的包或构建平台提供SLSA认证。”Google指出。
SLSA分为四个层次,其中第四个层次是所有软件开发过程都受到保护的理想状态,如下图所示:
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看该作者更多好文