Um der wachsenden Bedrohung durch Angriffe auf die Software-Lieferkette entgegenzuwirken, hat Google das Supply Chain Levels for Software Artifacts Framework (SLSA) vorgeschlagen, das „salsa“ ausgesprochen wird.
Ausgeklügelte Angreifer haben herausgefunden, dass die Software-Lieferkette der weiche Unterleib der Softwareindustrie ist. Neben dem bahnbrechenden SolarWinds-Hack weist Google auf den jüngsten Angriff auf die Codecov-Lieferkette hin, der das Cybersicherheitsunternehmen Rapid7 über einen manipulierten Bash-Uploader gestochen hat.
Angriffe in der Lieferkette sind zwar nicht neu, aber Google stellt fest, dass sie im letzten Jahr eskaliert sind und den Fokus von Exploits für bekannte oder Zero-Day-Software-Schwachstellen verlagert haben.
SIEHE: Netzwerksicherheitsrichtlinie (TechRepublic Premium)
Google beschreibt SLSA als “ein End-to-End-Framework zur Gewährleistung der Integrität von Software-Artefakten durchgängig”. die Software-Lieferkette.”
Es orientiert sich an der internen “Binary Authorization for Borg” (BAB) von Google – einem Verfahren, das Google seit mehr als acht Jahren verwendet, um die Codeherkunft zu überprüfen und die Codeidentität zu implementieren.
Das Ziel von BAB besteht darin, das Insiderrisiko zu verringern, indem sichergestellt wird, dass die bei Google bereitgestellte Produktionssoftware ordnungsgemäß überprüft wird, insbesondere wenn der Code Zugriff auf Nutzerdaten hat, stellt Google in einem Whitepaper fest.
„Das Ziel von SLSA ist es, den Zustand der Branche, insbesondere von Open Source, zu verbessern, um sich gegen die dringendsten Integritätsbedrohungen zu verteidigen. Mit SLSA können Verbraucher fundierte Entscheidungen über die Sicherheitslage der von ihnen konsumierten Software treffen“, sagte Kim Lewandowski von Das Open-Source-Sicherheitsteam von Google und Mark Lodato vom BAB-Team.
SLSA versucht, alles in der Software-Build-Kette zu sperren, vom Entwickler bis zum Quellcode, der Build-Plattform und den CI/CD-Systemen, dem Paket-Repository und den Abhängigkeiten.
Abhängigkeiten sind eine große Schwachstelle für Open-Source-Softwareprojekte. Im Februar schlug Google neue Protokolle für die Entwicklung kritischer Open-Source-Software vor, die Code-Reviews durch zwei unabhängige Parteien erfordern und die Betreuer eine Zwei-Faktor-Authentifizierung verwenden.
Die höheren SLSA-Werte hätten dazu beigetragen, den Angriff auf das Software-Build-System von SolarWinds zu verhindern, das kompromittiert wurde, um ein Implantat zu installieren, das bei jedem neuen Build eine Hintertür injiziert. Es argumentiert auch, dass SLSA bei dem CodeCov-Angriff helfen würde, weil “die Herkunft des Artefakts im GCS-Bucket gezeigt hätte, dass das Artefakt nicht in der erwarteten Weise aus dem erwarteten Quell-Repository erstellt wurde.”
SIEHE: DSGVO: Die Bußgelder sind letztes Jahr um 40 % gestiegen, und sie werden noch viel höher
Während das SLSA-Framework vorerst nur eine Reihe von Richtlinien ist, sieht Google dies vor seine endgültige Form wird durch Durchsetzbarkeit über bewährte Verfahren hinausgehen.
“Es wird die automatische Erstellung von überprüfbaren Metadaten unterstützen, die in Richtlinien-Engines eingespeist werden können, um einem bestimmten Paket oder einer bestimmten Build-Plattform die “SLSA-Zertifizierung” zu verleihen”, sagte Google.
Das Schema besteht aus vier SLSA-Stufen, wobei vier der ideale Zustand sind, in dem alle Softwareentwicklungsprozesse geschützt sind, wie unten abgebildet.
Sicherheit
Die besten Browser für den Datenschutz: Sicher surfen im großen, schlechten Internet Cyber-Sicherheit 101: Schützen Ihre Privatsphäre vor Hackern, Spionen und der Regierung Die beste Antivirensoftware und -apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung Ransomware: Führen Sie diese drei Schritte aus, um Ihr Netzwerk vor Angriffen zu schützen (ZDNet YouTube)
Verwandte Themen:
Google Security TV-Datenverwaltung CXO-Rechenzentren 