近日，Google 推出了 SLSA(Supply chain Levels for Software Artifacts)，這是一個新的端到端框架，Google 希望通過 SLSA 能推動標準和準則的實施，以確保整個軟件供應鏈中軟件工件的完整性。

[[406715]]

供應鏈完整性攻擊這兩年大幅增加，而且成為影響所有用戶的共通攻擊途徑。Google 開源安全團隊指出，雖然市面上已有局部性的解決方案，但是還沒有完整的端到端框架可定義如何緩解軟件供應鏈上的威脅，以及提供一定的安全保證。有鑒于近來像 Solaris 和 Codecov 如此大規(guī)模的攻擊，Google 認為有必要制定一個共通框架，以保護開發(fā)商及用戶。

Google 在聲明中表示：“SLSA 被設計成漸進式和可操作的，并在每一步都提供安全優(yōu)勢。一旦一個工件符合最高級別的要求，消費者就可以相信它沒有被篡改過，并且可以安全地追溯到源頭——這對于今天的大多數(shù)軟件來說是很難做到的，甚至是不可能做到的。SLSA 的目標是改善行業(yè)狀況，特別是開源代碼的狀況，以抵御最緊迫的完整性威脅。有了 SLSA，消費者可以對他們所使用的軟件的安全狀況做出明智的選擇。“

Google 表示，SLSA 框架的靈感來自其強制性的內(nèi)部 「Binary Authorization for Borg」 執(zhí)行檢查器，該檢查器可確保生產(chǎn)軟件得到適當?shù)膶彶楹褪跈?quán)，特別是在代碼可以訪問用戶數(shù)據(jù)的情況下。Binary Authorization for Borg 已經(jīng)在 Google 內(nèi)部使用了 8 年時間，并且是 Google 所有生產(chǎn)工作負載的強制性檢查器。

Google 表示，該框架由四個級別組成—— SLSA 1 至 SLSA 4 -- 遞增的數(shù)字與遞增的完整性保障相對應。

例如，SLSA 1 要求構(gòu)建過程完全腳本化/自動化并生成出處(關(guān)于工件如何構(gòu)建的元數(shù)據(jù)，包括構(gòu)建過程、頂級來源和依賴關(guān)系);而 SLSA 2 將要求使用版本控制和生成經(jīng)過認證出處的托管構(gòu)建服務。

對于更高的級別，SLSA 3 將要求源代碼和構(gòu)建平臺需要滿足特定的標準，以保證源代碼的可審計性和來源的完整性;而 SLSA 4 將要求對所有的變化進行雙人審查，并采用可重復的構(gòu)建過程。

Google 表示：“雙人審查是行業(yè)中捕捉錯誤和阻止不良行為的最佳做法。“

擬議的框架目前可在 GitHub 上找到，目前包括試圖就 "安全" 軟件供應鏈的定義達成共識;組織的認證程序，以證明符合所采用的標準;以及技術(shù)控制，以記錄出處和檢測或防止不符合規(guī)定的地方。

本文轉(zhuǎn)自OSCHINA

本文標題：Google 推出 SLSA 框架以加強供應鏈完整性

本文地址：https://www.oschina.net/news/147067/google-slsa-framework-enforce-supply-chain-integrity