Google sta lavorando a una soluzione per aiutare a mitigare il numero crescente di attacchi alla catena di fornitura del software software.
Che cosa sono i livelli della catena di approvvigionamento per gli artefatti software? (SLSA)?
Chiamati livelli della catena di fornitura per artefatti software, o SLSA in breve, la soluzione è un framework end-to-end che garantisce l'integrità degli artefatti software lungo tutta la supply chain. La soluzione si ispira all'"Autorizzazione binaria per Borg" interna di Google," un controllo di applicazione specifico che riduce il rischio interno assicurando che il software di produzione distribuito presso Google sia adeguatamente rivisto e autorizzato.
"L'obiettivo di SLSA è migliorare lo stato del settore, particolarmente open source, per difendersi dalle più pressanti minacce all'integrità. Con SLSA, i consumatori possono fare scelte informate sulla posizione di sicurezza del software che consumano,"Google ha spiegato nella sua blog sulla sicurezza.
L'idea del framework è quella di proteggersi dagli attacchi comuni alla catena di approvvigionamento. La soluzione si compone di quattro livelli, dove SLSA 5 rappresenta "lo stato finale ideale". I livelli inferiori simboleggiano traguardi incrementali con corrispondenti garanzie di integrità incrementale incremental:
- SLSA 1 richiede che il processo di compilazione sia completamente scriptato/automatizzato e generi la provenienza;
- SLSA 2 richiede l'utilizzo del controllo della versione e un servizio di build ospitato che genera una provenienza autenticata;
- SLSA 3 richiede inoltre che la sorgente e le piattaforme di compilazione soddisfino standard specifici per garantire la verificabilità della sorgente e l'integrità della provenienza, rispettivamente;
- SLSA 4 è attualmente il livello più alto, che richiedono una revisione da parte di due persone di tutte le modifiche e un ermetico, processo di costruzione riproducibile.
Disponibile anche il proof-of-concept
Google ha anche rilasciato un proof of concept per SLSA 1 generatore di provenienza, consentendo così agli utenti di creare e caricare la provenienza insieme ai loro artefatti di costruzione.
In futuro, l'azienda prevede di lavorare con una fonte popolare, costruire, e piattaforme di confezionamento “per rendere il più semplice possibile raggiungere livelli più elevati di SLSA”.
Insomma, SLSA è un framework efficiente finalizzato all'integrità della catena di fornitura del software end-to-end. La soluzione si basa su un modello che ha avuto successo in una delle più grandi organizzazioni di ingegneria del software, Google ha notato.
Pochi giorni fa, Google ha fatto un altro importante annuncio riguardo crittografia lato client per il suo Google Workspace, precedentemente noto come G Suite. Quest'ultima funzionalità di sicurezza darà ai suoi clienti aziendali il controllo diretto delle chiavi di crittografia e del servizio di identità che scelgono per accedere alle chiavi.
La crittografia lato client rende i dati dei clienti indecifrabili per Google. Naturalmente, i clienti saranno ancora in grado di utilizzare la collaborazione basata sul Web nativa dell'azienda, accedere ai contenuti su dispositivi mobili, e condividi file crittografati esternamente.