Google arbejder på en løsning, der hjælper med at afbøde det stigende antal angreb på softwareforsyningskæden.
Hvad er forsyningskædeniveauer for softwareartifakter (SLSA)?
Kaldte forsyningskædeniveauer til softwareartifakter, eller SLSA for kort, løsningen er en ende-til-ende-ramme, der sikrer integriteten af softwareartifakter i hele forsyningskæden. Løsningen er inspireret af Googles interne “Binary Authorization for Borg,”En specifik håndhævelseskontrol, der reducerer insiderrisikoen ved at sikre, at produktionssoftware, der implementeres hos Google, gennemgås og godkendes korrekt.
”Målet med SLSA er at forbedre branchens tilstand, især open source, at forsvare sig mod de mest presserende integritetstrusler. Med SLSA, forbrugere kan træffe informerede valg om sikkerhedsstillingen for den software, de bruger,”Google forklarede i sin sikkerhedsblog.
Idéen med rammen er at beskytte mod almindelige angreb på forsyningskæden. Løsningen består af fire niveauer, hvor SLSA 5 repræsenterer "den ideelle sluttilstand." De lavere niveauer symboliserer trinvise milepæle med tilsvarende garantier for inkrementel integritet:
- SLSA 1 kræver, at byggeprocessen er fuldt scriptet / automatiseret og genererer herkomst;
- SLSA 2 kræver brug af versionskontrol og en hostet buildtjeneste, der genererer godkendt herkomst;
- SLSA 3 kræver endvidere, at kilde- og byggeplatforme opfylder specifikke standarder for at garantere kildens revisionsevne og oprindelsens integritet, henholdsvis;
- SLSA 4 er i øjeblikket det højeste niveau, der kræver to-personers gennemgang af alle ændringer og en hermetisk, reproducerbar byggeproces.
Proof-of-concept også tilgængelig
Google har også frigivet et proof-of-concept til SLSA 1 herkomstgenerator, således at brugerne kan oprette og uploade herkomst sammen med deres build-artefakter.
I fremtiden, virksomheden planlægger at arbejde med en populær kilde, opbygge, og emballageplatforme "for at gøre det så let som muligt at nå højere niveauer af SLSA."
Afslutningsvis, SLSA er en effektiv ramme rettet mod end-to-end software supply chain integritet. Løsningen er baseret på en model, der har haft succes i en af de største software engineering organisationer, Google bemærkede.
For få dage siden, Google fremsatte endnu en vigtig meddelelse angående klientsides kryptering til sit Google Workspace, tidligere kendt som G Suite. Denne seneste sikkerhedsfunktion giver sine virksomhedskunder direkte kontrol over krypteringsnøgler og den identitetstjeneste, de vælger for at få adgang til nøglerne.
Kryptering på klientsiden gør kundedata uadskillelig for Google. Selvfølgelig, kunder vil stadig være i stand til at bruge virksomhedens oprindelige webbaserede samarbejde, få adgang til indhold på mobile enheder, og dele krypterede filer eksternt.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: