Google arbeitet an einer Lösung, um die steigende Zahl von Angriffen auf die Software-Lieferkette einzudämmen.
Was sind Lieferkettenebenen für Software-Artefakte? (SLSA)?
Genannte Lieferkettenebenen für Software-Artefakte, oder kurz SLSA, Die Lösung ist ein End-to-End-Framework, das die Integrität von Software-Artefakten in der gesamten Lieferkette sicherstellt. Die Lösung ist inspiriert von Googles interner „Binary Authorization for Borg“,” eine spezifische Durchsetzungsprüfung, die das Insiderrisiko verringert, indem sichergestellt wird, dass die bei Google bereitgestellte Produktionssoftware ordnungsgemäß überprüft und autorisiert wird..
„Das Ziel von SLSA ist es, den Zustand der Branche zu verbessern, besonders Open Source, zur Abwehr der dringendsten Integritätsbedrohungen. Mit SLSA, Verbraucher können informierte Entscheidungen über die Sicherheitslage der von ihnen konsumierten Software treffen,” Google erklärt in seiner Sicherheitsblog.
Die Idee des Frameworks besteht darin, sich gegen gängige Angriffe auf die Lieferkette abzuschirmen. Die Lösung besteht aus vier Ebenen, wo SLSA 5 stellt „den idealen Endzustand“ dar. Die unteren Ebenen symbolisieren inkrementelle Meilensteine mit entsprechenden inkrementellen Integritätsgarantien:
- SLSA 1 erfordert, dass der Build-Prozess vollständig skriptgesteuert/automatisiert ist und Provenance generiert;
- SLSA 2 erfordert die Verwendung der Versionskontrolle und eines gehosteten Build-Dienstes, der eine authentifizierte Herkunft generiert generates;
- SLSA 3 erfordert ferner, dass die Quell- und Build-Plattformen bestimmten Standards entsprechen, um die Überprüfbarkeit der Quelle und die Integrität der Herkunft zu gewährleisten, beziehungsweise;
- SLSA 4 ist derzeit die höchste Stufe, erfordert eine Zwei-Personen-Überprüfung aller Änderungen und eine hermetische, reproduzierbarer Bauprozess.
Proof-of-Concept auch verfügbar
Google hat auch einen Machbarkeitsnachweis für SLSA veröffentlicht 1 Provenienzgenerator, So können Benutzer neben ihren Build-Artefakten auch Provenienzen erstellen und hochladen.
In Zukunft, Das Unternehmen plant, mit einer beliebten Quelle zu arbeiten, bauen, und Verpackungsplattformen, „um es so einfach wie möglich zu machen, höhere SLSA-Werte zu erreichen“.
Abschließend, SLSA ist ein effizientes Framework, das auf die End-to-End-Integrität der Software-Lieferkette abzielt. Die Lösung basiert auf einem Modell, das in einem der größten Software-Engineering-Unternehmen erfolgreich war, Google bemerkt.
Vor ein paar Tagen, Google hat eine weitere wichtige Ankündigung bezüglich clientseitige Verschlüsselung für seinen Google Workspace, früher bekannt als G Suite. Diese neueste Sicherheitsfunktion gibt seinen Unternehmenskunden die direkte Kontrolle über Verschlüsselungsschlüssel und den Identitätsdienst, den sie für den Zugriff auf die Schlüssel auswählen.
Clientseitige Verschlüsselung macht Kundendaten für Google unentzifferbar. Natürlich, Kunden können weiterhin die native webbasierte Zusammenarbeit des Unternehmens nutzen, auf Inhalte auf mobilen Geräten zugreifen, und verschlüsselte Dateien extern teilen.