För att ta itu med det växande hotet mot attacker mot mjukvaruförsörjningskedjan har Google föreslagit Supply chain Levels for Software Artifacts-ramverket, eller SLSA som uttalas “salsa”.
Sofistikerade angripare har kommit fram till att mjukvaruförsörjningskedjan är mjuk mage i mjukvaruindustrin. Utöver det spelförändrande SolarWinds-hacket pekar Google på den senaste leverantörskedjan i Codecov, som stak cybersäkerhetsföretaget Rapid7 via en smutsig Bash-uppladdare.
Även om leverantörskedjeattacker inte är nya, konstaterar Google att de har eskalerat det senaste året och har flyttat fokus från exploateringar för kända eller nolldagars programvarusårbarheter.
SE: Nätverkssäkerhetspolicy (TechRepublic Premium)
Google beskriver SLSA som “ett heltäckande ramverk för att säkerställa integriteten hos programvaruartiklar i hela mjukvaruförsörjningskedjan. “
Det tar sin ledning från Googles interna “Binary Authorization for Borg” (BAB) – en process som Google har använt i mer än åtta år för att verifiera kodens ursprung och implementera kodidentitet.
Målet med BAB är att minska insiderrisken genom att säkerställa att produktionsmjukvaran som distribueras hos Google granskas korrekt, särskilt om koden har åtkomst till användardata, noterar Google i en vitbok.
“Målet med SLSA är att förbättra branschens tillstånd, särskilt öppen källkod, för att försvara sig mot de mest pressande integritetshoten. Med SLSA kan konsumenterna göra välgrundade val om säkerhetsställning av programvaran de konsumerar”, säger Kim Lewandowski av Googles säkerhetsteam med öppen källkod och Mark Lodato, från BAB-teamet.
SLSA vill låsa allt i programvarukedjan, från utvecklare till källkod, byggplattform och CI/CD-system, paketförvar och beroenden.
Beroenden är en viktig svag punkt för programvara med öppen källkod. I februari föreslog Google nya protokoll för kritisk öppen källkodsutveckling som skulle kräva kodgranskning av två oberoende parter och att underhållare använder tvåfaktorautentisering.
Det räknar med att högre SLSA-nivåer skulle ha hjälpt till att förhindra attacken mot SolarWinds programvarubyggningssystem, vilket komprometterades för att installera ett implantat som injicerade en bakdörr under varje nybyggnad. Det hävdar också att SLSA skulle hjälpa till med CodeCov-attacken eftersom “härkomst av artefakten i GCS-skopan skulle ha visat att artefakten inte byggdes på det förväntade sättet från det förväntade källan.”
SE: GDPR: Böterna ökade med 40% förra året, och de håller på att bli mycket större
Medan SLSA-ramverket bara är en uppsättning riktlinjer för närvarande, föreställer sig Google att dess slutliga form kommer att gå utöver bästa praxis via verkställbarhet.
“Det kommer att stödja automatisk skapande av granskningsbara metadata som kan matas in i policymotorer för att ge” SLSA-certifiering “till ett visst paket eller byggplattform, säger Google.
Schemat består av fyra nivåer av SLSA, varav fyra är det perfekta tillståndet där alla programvaruutvecklingsprocesser är skyddade, som bilden nedan.
Säkerhet
De bästa webbläsarna för sekretess: Bläddra säkert på det stora dåliga internet Cybersäkerhet 101: Skydda din integritet från hackare, spioner och regeringen De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemanvändning De bästa säkerhetsnycklarna för tvåfaktorsautentisering Ransomware: Gör dessa tre saker för att skydda ditt nätverk från attacker (ZDNet YouTube)
Relaterade ämnen:
Google Security TV Data Management CXO Data Centers 