为了应对不断升级的软件供应链安全威胁,Google近日推出了一个软件供应链安全框架——SLSA。
熟练的攻击者们已经发现软件供应链才是软件行业的软肋。除了改变游戏规则的SolarWinds供应链攻击之外,Google还指出了最近的Codecov供应链攻击,甚至网络安全公司Rapid7也成了受害者。
Google将SLSA描述为“用于确保整个软件供应链中软件工件完整性的端到端框架”。
SLSA以Google内部的“Borg二进制授权”(BAB)为主导——Google八年来一直使用这一流程来验证代码出处和实现代码身份。
Google在一份白皮书中指出,BAB的目标是通过确保部署在Google的生产软件得到适当审查来降低内部风险,特别是当这些代码可以访问用户数据时。
Google的开源安全团队的专家指出:“SLSA的目标是改善软件行业安全状况,尤其是开源软件,以抵御最紧迫的完整性威胁。通过SLSA,消费者可以对他们使用的软件的安全状况做出明智的选择。”
SLSA希望锁定软件开发链中的所有内容,从开发人员到源代码、开发平台和CI/CD系统、以及包存储库和依赖项。
依赖性是开源软件项目的主要弱点。2月,Google为关键的开源软件开发提出了新协议,该协议需要两个独立方的代码审查,并且维护人员需要使用双因素身份验证。
Google认为更高的SLSA级别将有助于防止类似SolarWinds的软件供应链攻击,以及防范CodeCov攻击。
虽然SLSA框架目前只是一套指导方针,但Google预计其最终将提供超过最佳实践的可执行性。
“它将支持自动创建可审计的元数据,这些元数据可以输入到策略引擎中,从而为特定的包或构建平台提供SLSA认证。”Google指出。
SLSA分为四个级别,其中第四级别是所有软件开发过程都受到保护的理想状态,如下图所示:
来源:安全牛