Om de groeiende dreiging van aanvallen op de softwaretoeleveringsketen aan te pakken, heeft Google het Supply chain Levels for Software Artifacts-framework voorgesteld, of SLSA, dat wordt uitgesproken als 'salsa'.
Geavanceerde aanvallers hebben ontdekt dat de softwaretoeleveringsketen de zachte onderbuik is van de software-industrie. Naast de baanbrekende SolarWinds-hack wijst Google op de recente aanval op de toeleveringsketen van Codecov, waarbij cyberbeveiligingsbedrijf Rapid7 werd gestoken via een besmette Bash-uploader.
Hoewel supply chain-aanvallen niet nieuw zijn, merkt Google op dat ze het afgelopen jaar zijn geëscaleerd en de focus hebben verlegd van exploits voor bekende of zero-day softwarekwetsbaarheden.
ZIE: Netwerkbeveiligingsbeleid (TechRepublic Premium)
Google beschrijft SLSA als “een end-to-end framework voor het waarborgen van de integriteit van softwareartefacten de softwaretoeleveringsketen.”
Het is gebaseerd op Google's interne “Binary Authorization for Borg” (BAB) – een proces dat Google al meer dan acht jaar gebruikt om de herkomst van code te verifiëren en code-identiteit te implementeren.
Het doel van BAB is om het risico van insiders te verminderen door ervoor te zorgen dat productiesoftware die bij Google wordt geïmplementeerd, goed wordt gecontroleerd, vooral als de code toegang heeft tot gebruikersgegevens, merkt Google op in een witboek.
“Het doel van SLSA is om de staat van de industrie te verbeteren, met name open source, om zich te beschermen tegen de meest urgente integriteitsbedreigingen. Met SLSA kunnen consumenten weloverwogen keuzes maken over de beveiligingsstatus van de software die ze gebruiken”, zegt Kim Lewandowski van Google's open-source beveiligingsteam en Mark Lodato, van het BAB-team.
SLSA probeert alles in de software-buildketen af te sluiten, van de ontwikkelaar tot de broncode, het buildplatform en CI/CD-systemen, de pakketrepository en afhankelijkheden.
Afhankelijkheden zijn een belangrijk zwak punt voor open-source softwareprojecten. In februari stelde Google nieuwe protocollen voor voor de ontwikkeling van kritieke open-sourcesoftware waarvoor codebeoordelingen door twee onafhankelijke partijen nodig zijn en waarbij beheerders tweefactorauthenticatie gebruiken.
De hogere SLSA-niveaus zouden hebben bijgedragen aan het voorkomen van de aanval op het software-buildsysteem van SolarWinds, dat gecompromitteerd was om een implantaat te installeren dat bij elke nieuwe build een achterdeur injecteerde. Het beweert ook dat SLSA zou helpen bij de CodeCov-aanval omdat “herkomst van het artefact in de GCS-bucket zou hebben aangetoond dat het artefact niet op de verwachte manier is gebouwd op basis van de verwachte bronopslag.”
ZIE: GDPR: boetes zijn vorig jaar met 40% gestegen en ze worden nog veel groter
Hoewel het SLSA-framework voorlopig slechts een reeks richtlijnen is, voorziet Google dat de uiteindelijke vorm zal verder gaan dan beste praktijken via afdwingbaarheid.
“Het ondersteunt de automatische creatie van controleerbare metadata die kunnen worden ingevoerd in beleidsengines om “SLSA-certificering” te geven aan een bepaald pakket of bouwplatform,” zei Google.
Het schema bestaat uit vier SLSA-niveaus, waarbij vier de ideale toestand is waarin alle softwareontwikkelingsprocessen worden beschermd, zoals hieronder afgebeeld.
Beveiliging
De beste browsers voor privacy: veilig surfen op het grote slechte internet Cyberbeveiliging 101: beschermen uw privacy tegen hackers, spionnen en de overheid De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor tweefactorauthenticatie Ransomware: doe deze drie dingen om uw netwerk te beschermen tegen aanvallen (ZDNet YouTube)
Verwante onderwerpen:
Google Security TV Data Management CXO Datacenters 