為了應(yīng)對(duì)不斷升級(jí)的軟件供應(yīng)鏈安全威脅，Google近日推出了一個(gè)軟件供應(yīng)鏈安全框架——SLSA。

熟練的攻擊者們已經(jīng)發(fā)現(xiàn)軟件供應(yīng)鏈才是軟件行業(yè)的軟肋。除了改變游戲規(guī)則的SolarWinds供應(yīng)鏈攻擊之外，Google還指出了最近的Codecov供應(yīng)鏈攻擊，甚至網(wǎng)絡(luò)安全公司Rapid7也成了受害者。

[[406359]]

Google將SLSA描述為“用于確保整個(gè)軟件供應(yīng)鏈中軟件工件完整性的端到端框架”。

SLSA以Google內(nèi)部的“Borg二進(jìn)制授權(quán)”(BAB)為主導(dǎo)——Google八年來一直使用這一流程來驗(yàn)證代碼出處和實(shí)現(xiàn)代碼身份。

Google在一份白皮書中指出，BAB的目標(biāo)是通過確保部署在Google的生產(chǎn)軟件得到適當(dāng)審查來降低內(nèi)部風(fēng)險(xiǎn)，特別是當(dāng)這些代碼可以訪問用戶數(shù)據(jù)時(shí)。

Google的開源安全團(tuán)隊(duì)的專家指出：“SLSA的目標(biāo)是改善軟件行業(yè)安全狀況，尤其是開源軟件，以抵御最緊迫的完整性威脅。通過SLSA，消費(fèi)者可以對(duì)他們使用的軟件的安全狀況做出明智的選擇。”

SLSA希望鎖定軟件開發(fā)鏈中的所有內(nèi)容，從開發(fā)人員到源代碼、開發(fā)平臺(tái)和CI/CD系統(tǒng)、以及包存儲(chǔ)庫和依賴項(xiàng)。

依賴性是開源軟件項(xiàng)目的主要弱點(diǎn)。2月，Google為關(guān)鍵的開源軟件開發(fā)提出了新協(xié)議，該協(xié)議需要兩個(gè)獨(dú)立方的代碼審查，并且維護(hù)人員需要使用雙因素身份驗(yàn)證。

Google認(rèn)為更高的SLSA級(jí)別將有助于防止類似SolarWinds的軟件供應(yīng)鏈攻擊，以及防范CodeCov攻擊。

雖然SLSA框架目前只是一套指導(dǎo)方針，但Google預(yù)計(jì)其最終將提供超過最佳實(shí)踐的可執(zhí)行性。

“它將支持自動(dòng)創(chuàng)建可審計(jì)的元數(shù)據(jù)，這些元數(shù)據(jù)可以輸入到策略引擎中，從而為特定的包或構(gòu)建平臺(tái)提供SLSA認(rèn)證。”Google指出。

SLSA分為四個(gè)級(jí)別，其中第四級(jí)別是所有軟件開發(fā)過程都受到保護(hù)的理想狀態(tài)，如下圖所示：

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文