For å takle den økende trusselen om angrep på programvareleverandørkjeden, har Google foreslått Supply chain Levels for Software Artifacts framework, eller SLSA som blir uttalt “salsa”.
Sofistikerte angripere har funnet ut at programvareforsyningskjeden er den myke underlivet i programvareindustrien. Utover det spillendrende SolarWinds-hacket, peker Google på det nylige Codecov-forsyningskjedeangrepet, som stakk cybersikkerhetsfirmaet Rapid7 via en plettet Bash-opplaster.Selv om angrep av forsyningskjeder ikke er nye, bemerker Google at de har eskalert det siste året, og har skiftet fokus fra utnyttelser for kjente eller null-dagers programvaresårbarheter.
SE: Nettverkspolicy (TechRepublic Premium)
Google beskriver SLSA som “et helhetlig rammeverk for å sikre integriteten til programvareartefakter i hele programvareforsyningskjeden. “
Det tar ledelsen fra Googles interne “Binary Authorization for Borg” (BAB) – en prosess Google har brukt i mer enn åtte år for å verifisere kodenes herkomst og implementere kodeidentitet.
Målet med BAB er å redusere insiderrisiko ved å sikre at produksjonsprogramvare som er distribuert hos Google blir korrekt gjennomgått, spesielt hvis koden har tilgang til brukerdata, bemerker Google i en papirart.
“Målet med SLSA er å forbedre bransjens tilstand, spesielt åpen kildekode, for å forsvare seg mot de mest presserende integritetstruslene. Med SLSA kan forbrukerne ta informerte valg om sikkerhetsstillingen til programvaren de bruker,” sa Kim Lewandowski fra Googles sikkerhetsgruppe med åpen kildekode og Mark Lodato, fra BAB-teamet.
SLSA ser ut til å låse alt i programvarebyggingskjeden, fra utvikleren til kildekoden, byggeplattformen og CI/CD-systemene, pakkelageret og avhengigheter.
Avhengighet er et viktig svakt punkt for programvare-prosjekter med åpen kildekode. I februar foreslo Google nye protokoller for kritisk programvareutvikling med åpen kildekode som ville kreve kodevurderinger av to uavhengige parter, og som vedlikeholdere bruker tofaktorautentisering.
Det regner med at høyere SLSA-nivåer ville ha bidratt til å forhindre angrepet på SolarWinds 'programvarebyggingssystem, som kompromittert for å installere et implantat som injiserte en bakdør under hver nybygg. Det hevder også at SLSA vil hjelpe i CodeCov-angrepet fordi “herkomst av gjenstanden i GCS-bøtta ville ha vist at gjenstanden ikke ble bygget på forventet måte fra det forventede kildeposten.”
SE: GDPR: Bøtene økte med 40% i fjor, og de er i ferd med å bli mye større
Mens SLSA-rammeverket bare er et sett med retningslinjer for nå, ser Google for seg at dens endelige form vil gå utover beste praksis via håndhevbarhet.
“Det vil støtte automatisk opprettelse av reviderbare metadata som kan mates inn i policy-motorer for å gi” SLSA-sertifisering “til en bestemt pakke eller byggeplattform,” sa Google.
Ordningen består av fire nivåer av SLSA, hvor fire er den ideelle tilstanden der alle programvareutviklingsprosesser er beskyttet, som vist nedenfor.
Sikkerhet
De beste nettleserne for personvern: Bla sikkert på det store dårlige internett Cybersikkerhet 101: Protect personvernet ditt mot hackere, spioner og myndighetene Den beste antivirusprogramvaren og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for tofaktorautentisering Ransomware: Gjør disse tre tingene for å beskytte nettverket ditt mot angrep (ZDNet YouTube)
Beslektede emner:
Google Security TV Data Management CXO Data Centers 