Google 推出 SLSA 框架以加強(qiáng)供應(yīng)鏈完整性
近日,Google 推出了 SLSA(Supply chain Levels for Software Artifacts),這是一個(gè)新的端到端框架,Google 希望通過(guò) SLSA 能推動(dòng)標(biāo)準(zhǔn)和準(zhǔn)則的實(shí)施,以確保整個(gè)軟件供應(yīng)鏈中軟件工件的完整性。
供應(yīng)鏈完整性攻擊這兩年大幅增加,而且成為影響所有用戶(hù)的共通攻擊途徑。Google 開(kāi)源安全團(tuán)隊(duì)指出,雖然市面上已有局部性的解決方案,但是還沒(méi)有完整的端到端框架可定義如何緩解軟件供應(yīng)鏈上的威脅,以及提供一定的安全保證。有鑒于近來(lái)像 Solaris 和 Codecov 如此大規(guī)模的攻擊,Google 認(rèn)為有必要制定一個(gè)共通框架,以保護(hù)開(kāi)發(fā)商及用戶(hù)。
Google 在聲明中表示:“SLSA 被設(shè)計(jì)成漸進(jìn)式和可操作的,并在每一步都提供安全優(yōu)勢(shì)。一旦一個(gè)工件符合最高級(jí)別的要求,消費(fèi)者就可以相信它沒(méi)有被篡改過(guò),并且可以安全地追溯到源頭——這對(duì)于今天的大多數(shù)軟件來(lái)說(shuō)是很難做到的,甚至是不可能做到的。SLSA 的目標(biāo)是改善行業(yè)狀況,特別是開(kāi)源代碼的狀況,以抵御最緊迫的完整性威脅。有了 SLSA,消費(fèi)者可以對(duì)他們所使用的軟件的安全狀況做出明智的選擇。“
Google 表示,SLSA 框架的靈感來(lái)自其強(qiáng)制性的內(nèi)部 「Binary Authorization for Borg」 執(zhí)行檢查器,該檢查器可確保生產(chǎn)軟件得到適當(dāng)?shù)膶彶楹褪跈?quán),特別是在代碼可以訪問(wèn)用戶(hù)數(shù)據(jù)的情況下。Binary Authorization for Borg 已經(jīng)在 Google 內(nèi)部使用了 8 年時(shí)間,并且是 Google 所有生產(chǎn)工作負(fù)載的強(qiáng)制性檢查器。
Google 表示,該框架由四個(gè)級(jí)別組成—— SLSA 1 至 SLSA 4 -- 遞增的數(shù)字與遞增的完整性保障相對(duì)應(yīng)。
例如,SLSA 1 要求構(gòu)建過(guò)程完全腳本化/自動(dòng)化并生成出處(關(guān)于工件如何構(gòu)建的元數(shù)據(jù),包括構(gòu)建過(guò)程、頂級(jí)來(lái)源和依賴(lài)關(guān)系);而 SLSA 2 將要求使用版本控制和生成經(jīng)過(guò)認(rèn)證出處的托管構(gòu)建服務(wù)。
對(duì)于更高的級(jí)別,SLSA 3 將要求源代碼和構(gòu)建平臺(tái)需要滿足特定的標(biāo)準(zhǔn),以保證源代碼的可審計(jì)性和來(lái)源的完整性;而 SLSA 4 將要求對(duì)所有的變化進(jìn)行雙人審查,并采用可重復(fù)的構(gòu)建過(guò)程。
Google 表示:“雙人審查是行業(yè)中捕捉錯(cuò)誤和阻止不良行為的最佳做法。“
擬議的框架目前可在 GitHub 上找到,目前包括試圖就 "安全" 軟件供應(yīng)鏈的定義達(dá)成共識(shí);組織的認(rèn)證程序,以證明符合所采用的標(biāo)準(zhǔn);以及技術(shù)控制,以記錄出處和檢測(cè)或防止不符合規(guī)定的地方。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:Google 推出 SLSA 框架以加強(qiáng)供應(yīng)鏈完整性
本文地址:https://www.oschina.net/news/147067/google-slsa-framework-enforce-supply-chain-integrity
