Google travaille sur une solution pour aider à atténuer le nombre croissant d'attaques de la chaîne d'approvisionnement logicielle.
Quels sont les niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA)?
Niveaux de chaîne d'approvisionnement appelés pour les artefacts logiciels, ou SLSA en abrégé, la solution est un cadre de bout en bout qui garantit l'intégrité des artefacts logiciels tout au long de la chaîne d'approvisionnement. La solution s'inspire de l'« Autorisation binaire pour Borg » interne de Google,” un contrôle d'application spécifique qui réduit le risque d'initié en s'assurant que le logiciel de production déployé chez Google est correctement examiné et autorisé.
"L'objectif de SLSA est d'améliorer l'état de l'industrie, particulièrement open source, pour se défendre contre les menaces d'intégrité les plus urgentes. Avec SLSA, les consommateurs peuvent faire des choix éclairés sur la posture de sécurité du logiciel qu'ils utilisent," Google a expliqué dans son blog sécurité.
L'idée du cadre est de se protéger contre les attaques courantes de la chaîne d'approvisionnement. La solution se compose de quatre niveaux, où SLSA 5 représente « l'état final idéal ». Les niveaux inférieurs symbolisent les jalons incrémentiels avec les garanties d'intégrité incrémentielles correspondantes:
- SLSA 1 nécessite que le processus de construction soit entièrement scripté/automatisé et génère une provenance;
- SLSA 2 nécessite l'utilisation du contrôle de version et d'un service de build hébergé qui génère une provenance authentifiée;
- SLSA 3 exige en outre que la source et les plates-formes de construction répondent à des normes spécifiques pour garantir l'auditabilité de la source et l'intégrité de la provenance, respectivement;
- SLSA 4 est actuellement le plus haut niveau, nécessitant un examen à deux personnes de tous les changements et un, processus de construction reproductible.
Preuve de concept également disponible
Google a également publié une preuve de concept pour SLSA 1 générateur de provenance, permettant ainsi aux utilisateurs de créer et de télécharger la provenance avec leurs artefacts de construction.
A l'avenir, la société prévoit de travailler avec une source populaire, construire, et des plates-formes d'emballage "pour qu'il soit aussi facile que possible d'atteindre des niveaux plus élevés de SLSA".
En conclusion, SLSA est un cadre efficace visant à l'intégrité de la chaîne d'approvisionnement logicielle de bout en bout. La solution est basée sur un modèle qui a fait ses preuves dans l'une des plus grandes organisations d'ingénierie logicielle, Google a noté.
Il y a quelques jours, Google a fait une autre annonce importante concernant chiffrement côté client pour son espace de travail Google, anciennement G Suite. Cette dernière fonctionnalité de sécurité donnera à ses entreprises clientes un contrôle direct des clés de chiffrement et du service d'identité qu'elles sélectionnent pour accéder aux clés..
Le chiffrement côté client rend les données client indéchiffrables par Google. Bien sûr, les clients pourront toujours utiliser la collaboration Web native de l'entreprise, accéder au contenu sur les appareils mobiles, et partager des fichiers cryptés en externe.