Googleは、ソフトウェアサプライチェーン攻撃の増加を緩和するためのソリューションに取り組んでいます.
ソフトウェアアーティファクトのサプライチェーンレベルとは (SLSA)?
ソフトウェアアーティファクトのサプライチェーンレベルと呼ばれる, または略してSLSA, このソリューションは、サプライチェーン全体でソフトウェア成果物の整合性を保証するエンドツーエンドのフレームワークです。. このソリューションは、Googleの内部「Borgのバイナリ認証」に触発されています,」Googleに導入された本番ソフトウェアが適切にレビューおよび承認されていることを確認することにより、インサイダーリスクを軽減する特定の施行チェック.
「SLSAの目標は、業界の状態を改善することです。, 特にオープンソース, 最も差し迫った完全性の脅威から身を守るために. SLSAを使用, 消費者は、消費するソフトウェアのセキュリティ体制について情報に基づいた選択を行うことができます,」グーグルはその中で説明した セキュリティブログ.
フレームワークのアイデアは、一般的なサプライチェーン攻撃から保護することです. ソリューションは4つのレベルで構成されています, ここでSLSA 5 「理想的な最終状態」を表します。下位レベルは、対応する増分整合性保証を備えた増分マイルストーンを象徴します:
- SLSA 1 ビルドプロセスが完全にスクリプト化/自動化され、来歴を生成する必要があります;
- SLSA 2 バージョン管理と、認証された来歴を生成するホスト型ビルドサービスを使用する必要があります;
- SLSA 3 さらに、ソースとビルドプラットフォームが特定の基準を満たし、ソースの監査可能性と来歴の整合性を保証する必要があります, それぞれ;
- SLSA 4 現在最高レベルです, すべての変更の2人によるレビューと気密性が必要, 再現可能なビルドプロセス.
概念実証も利用可能
GoogleはSLSAの概念実証もリリースしました 1 来歴ジェネレータ, したがって、ユーザーはビルドアーティファクトと一緒に来歴を作成してアップロードできます.
将来, 同社は人気のある情報源と協力することを計画している, 建てる, 「SLSAのより高いレベルに到達することを可能な限り容易にするための」パッケージングプラットフォーム。
結論は, SLSAは、エンドツーエンドのソフトウェアサプライチェーンの整合性を目的とした効率的なフレームワークです。. このソリューションは、最大規模のソフトウェアエンジニアリング組織の1つで成功しているモデルに基づいています。, グーグルは指摘した.
数日前, グーグルはに関する別の重要な発表をしました GoogleWorkspaceのクライアント側の暗号化, 以前はGSuiteと呼ばれていました. この最新のセキュリティ機能により、企業のお客様は暗号化キーと、キーにアクセスするために選択したIDサービスを直接制御できます。.
クライアント側の暗号化により、顧客データはGoogleで判読できなくなります. もちろん, 顧客は引き続き会社のネイティブWebベースのコラボレーションを使用できます, モバイルデバイスのコンテンツにアクセスする, 暗号化されたファイルを外部で共有します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: