Сигурност с отворен код: Google има нов план за спиране на атаките на веригата за доставки на софтуер

За да се справи с нарастващата заплаха от атаки върху веригата за доставки на софтуер, Google предложи рамката на веригата за доставки за софтуерни артефакти или SLSA, която се произнася „салса“.

Изисканите нападатели са разбрали, че веригата за доставки на софтуер е меката основа на софтуерната индустрия. Освен хакерската промяна на SolarWinds, Google посочва неотдавнашната атака на веригата за доставки на Codecov, която ужаси фирмата за киберсигурност Rapid7 чрез опетнен качител на Bash.

Въпреки че атаките на веригите за доставки не са нови, Google отбелязва, че те са ескалирали през последната година, и измести фокуса от експлойти за известни или нулеви дневни уязвимости на софтуера.

ВИЖТЕ: Политика за мрежова сигурност (TechRepublic Premium)

Google описва SLSA като „цялостна рамка за осигуряване на целостта на софтуерните артефакти по цялата верига за доставки на софтуер“.

Той поема водещата роля от вътрешното „Двоично разрешение за Borg“ (BAB) на Google – процес, който Google използва повече от осем години, за да провери произхода на кода и да внедри идентичност на кода.

Целта на BAB е да намали вътрешния риск, като гарантира, че производственият софтуер, разположен в Google, е правилно прегледан, особено ако кодът има достъп до потребителски данни, Google отбелязва в бяла книга.

“Целта на SLSA е да подобри състоянието на индустрията, особено с отворен код, за да се защити срещу най-належащите заплахи за целостта. С SLSA потребителите могат да правят информиран избор относно позицията на сигурност на софтуера, който консумират”, каза Ким Левандовски от Екипът за сигурност на Google с отворен код и Марк Лодато от екипа на BAB.

SLSA се стреми да заключи всичко във веригата за изграждане на софтуер, от разработчика до изходния код, платформата за изграждане и CI / CD системите, хранилището на пакети и зависимостите.

Зависимостите са основно слабо място за софтуерни проекти с отворен код. През февруари Google предложи нови протоколи за критично разработване на софтуер с отворен код, които ще изискват прегледи на кода от две независими страни и които поддържащите използват двуфакторно удостоверяване.

Смята се, че по-високите нива на SLSA биха помогнали за предотвратяване на атаката върху системата за изграждане на софтуер на SolarWinds, която беше компрометирана, за да инсталира имплант, който инжектира задната врата при всяко ново изграждане. Той също така твърди, че SLSA би помогнал при атаката на CodeCov, тъй като “произходът на артефакта в кофата на GCS би показал, че артефактът не е бил изграден по очаквания начин от очакваното репо репо.”

ВИЖТЕ: GDPR: Глобите се увеличиха с 40% миналата година и те скоро ще станат много по-големи

Докато рамката на SLSA засега е само набор от насоки, Google предвижда окончателната й форма да надхвърля най-добрите практики чрез приложимост.

„Той ще поддържа автоматичното създаване на подлежащи на проверка метаданни, които могат да бъдат включени в механизмите на политиките, за да се даде„ сертификат SLSA “на определен пакет или платформа за изграждане“, каза Google.

Схемата се състои от четири нива на SLSA, като четири са идеалното състояние, при което всички процеси на разработка на софтуер са защитени, както е показано на снимката по-долу.

Google

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com