Google推出软件供应链安全框架

安全 应用安全
为了应对不断升级的软件供应链安全威胁,Google近日推出了一个软件供应链安全框架——SLSA。

为了应对不断升级的软件供应链安全威胁,Google近日推出了一个软件供应链安全框架——SLSA。

熟练的攻击者们已经发现软件供应链才是软件行业的软肋。除了改变游戏规则的SolarWinds供应链攻击之外,Google还指出了最近的Codecov供应链攻击,甚至网络安全公司Rapid7也成了受害者。

[[406359]]

Google将SLSA描述为“用于确保整个软件供应链中软件工件完整性的端到端框架”。

SLSA以Google内部的“Borg二进制授权”(BAB)为主导——Google八年来一直使用这一流程来验证代码出处和实现代码身份。

Google在一份白皮书中指出,BAB的目标是通过确保部署在Google的生产软件得到适当审查来降低内部风险,特别是当这些代码可以访问用户数据时。

Google的开源安全团队的专家指出:“SLSA的目标是改善软件行业安全状况,尤其是开源软件,以抵御最紧迫的完整性威胁。通过SLSA,消费者可以对他们使用的软件的安全状况做出明智的选择。”

SLSA希望锁定软件开发链中的所有内容,从开发人员到源代码、开发平台和CI/CD系统、以及包存储库和依赖项。

依赖性是开源软件项目的主要弱点。2月,Google为关键的开源软件开发提出了新协议,该协议需要两个独立方的代码审查,并且维护人员需要使用双因素身份验证。

Google认为更高的SLSA级别将有助于防止类似SolarWinds的软件供应链攻击,以及防范CodeCov攻击。

虽然SLSA框架目前只是一套指导方针,但Google预计其最终将提供超过最佳实践的可执行性。

“它将支持自动创建可审计的元数据,这些元数据可以输入到策略引擎中,从而为特定的包或构建平台提供SLSA认证。”Google指出。

SLSA分为四个级别,其中第四级别是所有软件开发过程都受到保护的理想状态,如下图所示:

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-06-22 09:16:56

GoogleSLSA端到端

2023-02-23 07:52:20

2021-06-04 10:05:59

供应链安全

2023-05-27 00:35:18

2022-03-10 08:16:14

Kubernetes软件供应链

2016-09-08 19:01:07

Docker内网安全软件供应链

2020-10-10 07:00:00

软件供应链软件开发

2018-05-29 15:24:00

2022-06-02 10:23:44

供应链安全工具

2022-01-19 13:32:58

软件供应链安全网络安全网络攻击

2022-11-11 09:12:45

2022-11-10 10:54:24

2023-10-30 14:33:27

2023-03-09 12:33:46

2022-11-18 15:36:02

2022-11-14 10:17:40

2018-02-07 05:06:41

2022-07-18 17:55:56

软件供应链安全

2022-04-26 10:47:15

智能供应链供应链
点赞
收藏

51CTO技术栈公众号