Google 推出 SLSA 框架以加强供应链完整性

开发 前端
近日,Google 推出了 SLSA(Supply chain Levels for Software Artifacts),这是一个新的端到端框架,Google 希望通过 SLSA 能推动标准和准则的实施,以确保整个软件供应链中软件工件的完整性。

近日,Google 推出了 SLSA(Supply chain Levels for Software Artifacts),这是一个新的端到端框架,Google 希望通过 SLSA 能推动标准和准则的实施,以确保整个软件供应链中软件工件的完整性。

[[406715]]

供应链完整性攻击这两年大幅增加,而且成为影响所有用户的共通攻击途径。Google 开源安全团队指出,虽然市面上已有局部性的解决方案,但是还没有完整的端到端框架可定义如何缓解软件供应链上的威胁,以及提供一定的安全保证。有鉴于近来像 Solaris 和 Codecov 如此大规模的攻击,Google 认为有必要制定一个共通框架,以保护开发商及用户。

Google 在声明中表示:“SLSA 被设计成渐进式和可操作的,并在每一步都提供安全优势。一旦一个工件符合最高级别的要求,消费者就可以相信它没有被篡改过,并且可以安全地追溯到源头——这对于今天的大多数软件来说是很难做到的,甚至是不可能做到的。SLSA 的目标是改善行业状况,特别是开源代码的状况,以抵御最紧迫的完整性威胁。有了 SLSA,消费者可以对他们所使用的软件的安全状况做出明智的选择。“

Google 表示,SLSA 框架的灵感来自其强制性的内部 「Binary Authorization for Borg」 执行检查器,该检查器可确保生产软件得到适当的审查和授权,特别是在代码可以访问用户数据的情况下。Binary Authorization for Borg 已经在 Google 内部使用了 8 年时间,并且是 Google 所有生产工作负载的强制性检查器。

Google 表示,该框架由四个级别组成—— SLSA 1 至 SLSA 4 -- 递增的数字与递增的完整性保障相对应。

例如,SLSA 1 要求构建过程完全脚本化/自动化并生成出处(关于工件如何构建的元数据,包括构建过程、顶级来源和依赖关系);而 SLSA 2 将要求使用版本控制和生成经过认证出处的托管构建服务。

对于更高的级别,SLSA 3 将要求源代码和构建平台需要满足特定的标准,以保证源代码的可审计性和来源的完整性;而 SLSA 4 将要求对所有的变化进行双人审查,并采用可重复的构建过程。

Google 表示:“双人审查是行业中捕捉错误和阻止不良行为的最佳做法。“

拟议的框架目前可在 GitHub 上找到,目前包括试图就 "安全" 软件供应链的定义达成共识;组织的认证程序,以证明符合所采用的标准;以及技术控制,以记录出处和检测或防止不符合规定的地方。

本文转自OSCHINA

本文标题:Google 推出 SLSA 框架以加强供应链完整性

本文地址:https://www.oschina.net/news/147067/google-slsa-framework-enforce-supply-chain-integrity

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-06-18 14:36:39

Google软件供应链安全框架

2023-05-27 00:35:18

2023-02-23 07:52:20

2017-03-10 14:54:42

京东智慧供应链

2023-11-22 16:00:58

2021-06-04 10:05:59

供应链安全

2023-09-18 10:37:36

数字化供应链数字化转型

2022-04-26 10:47:15

智能供应链供应链

2022-11-14 10:32:56

供应链技术

2017-01-23 11:18:16

戴尔

2012-11-29 10:25:16

IT供应链信息安全

2021-05-10 10:49:00

供应链攻击网络安全网络攻击

2020-12-07 13:53:01

区块链疫苗

2021-01-13 11:48:18

数据分析供应链管理主管

2022-03-26 22:51:06

区块链供应链技术

2022-05-12 11:26:40

云技术供应链

2024-04-22 14:38:26

供应链半导体芯片

2022-08-30 11:11:19

数字化转型供应链

2022-03-04 14:24:21

区块链技术供应链
点赞
收藏

51CTO技术栈公众号