Google werkt aan een oplossing om het toenemende aantal aanvallen op de toeleveringsketen van software te verminderen.
Wat zijn supply chain-niveaus voor softwareartefacten? (SLSA)?
Toeleveringsketenniveaus voor softwareartefacten genoemd, of kortweg SLSA, de oplossing is een end-to-end framework dat de integriteit van softwareartefacten in de hele supply chain garandeert ensures. De oplossing is geïnspireerd op Google's interne "Binary Authorization for Borg",” een specifieke handhavingscontrole die het risico van insiders vermindert door ervoor te zorgen dat productiesoftware die bij Google wordt geïmplementeerd, correct wordt gecontroleerd en geautoriseerd.
“Het doel van SLSA is om de toestand van de industrie te verbeteren, bijzonder open source open, ter verdediging tegen de meest urgente integriteitsbedreigingen. Met SLSA, consumenten kunnen weloverwogen keuzes maken over de beveiligingsstatus van de software die ze gebruiken,” Google uitgelegd in zijn beveiligingsblog.
Het idee van het raamwerk is om te beschermen tegen veelvoorkomende aanvallen op de toeleveringsketen. De oplossing bestaat uit vier niveaus, waar SLSA 5 staat voor ‘de ideale eindtoestand’. De lagere niveaus symboliseren incrementele mijlpalen met bijbehorende incrementele integriteitsgaranties:
- SLSA 1 vereist dat het bouwproces volledig gescript/geautomatiseerd is en herkomst genereert;
- SLSA 2 vereist het gebruik van versiebeheer en een gehoste buildservice die geverifieerde herkomst genereert;
- SLSA 3 vereist verder dat de bron- en bouwplatforms voldoen aan specifieke normen om de controleerbaarheid van de bron en de integriteit van de herkomst te garanderen, respectievelijk;
- SLSA 4 is momenteel het hoogste niveau, waarbij beoordeling door twee personen van alle wijzigingen en een hermetisch, reproduceerbaar bouwproces.
Proof-of-concept ook beschikbaar
Google heeft ook een proof-of-concept voor SLSA uitgebracht 1 herkomst generator, waardoor gebruikers herkomst kunnen creëren en uploaden naast hun build-artefacten.
In de toekomst, het bedrijf is van plan om met populaire bronnen te werken, bouwen, en verpakkingsplatforms "om het zo gemakkelijk mogelijk te maken om hogere niveaus van SLSA te bereiken."
Tenslotte, SLSA is een efficiënt raamwerk gericht op end-to-end software supply chain-integriteit. De oplossing is gebaseerd op een model dat succesvol is geweest in een van de grootste software-engineeringorganisaties, Google merkte op:.
Een paar dagen geleden, Google heeft nog een belangrijke aankondiging gedaan met betrekking tot: versleuteling aan de clientzijde voor zijn Google Workspace, voorheen bekend als G Suite. Deze nieuwste beveiligingsfunctie geeft zakelijke klanten directe controle over coderingssleutels en de identiteitsservice die ze selecteren om toegang te krijgen tot de sleutels.
Versleuteling aan de clientzijde maakt klantgegevens onleesbaar voor Google. Natuurlijk, klanten kunnen nog steeds gebruik maken van de native webgebaseerde samenwerking van het bedrijf, toegang tot inhoud op mobiele apparaten, en versleutelde bestanden extern delen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: