为了应对不断升级的软件供应链安全威胁,谷歌近日推出了软件供应链安全框架——SLSA。熟练的攻击者已经发现,软件供应链是软件行业的软肋。除了改变游戏规则的SolarWinds供应链攻击外,谷歌还指出了最近的Codecov供应链攻击,甚至网络安全公司Rapid7也成为受害者。谷歌将SLSA描述为“一个端到端的框架,用于确保整个软件供应链中软件工件的完整性”。SLSA由Google的内部“BorgBinaryAuthorization”(BAB)领导——Google已经使用该流程八年来验证代码来源并实现代码身份。谷歌在一份白皮书中指出,BAB的目标是通过确保部署在谷歌的生产软件经过适当审查来降低内部风险,尤其是当该代码可以访问用户数据时。谷歌开源安全团队的专家表示:“SLSA的目标是改善软件行业的安全态势,尤其是开源软件,以抵御最紧迫的完整性威胁。通过SLSA,消费者可以为安全做出贡献。他们使用的软件的姿势。明智的选择。”SLSA想要锁定软件开发链中的一切,从开发人员到源代码、开发平台和CI/CD系统、包存储库和依赖项。依赖项是开源软件项目的主要弱点。2月,Google提出了一个新的关键开源软件开发协议,需要两个独立方进行代码审查,并要求维护人员使用双因素身份验证。谷歌认为,更高的SLSA级别将有助于防止像SolarWinds这样的软件供应链攻击,以及防止CodeCov攻击。虽然SLSA框架目前只是一套指导方针,但谷歌希望它最终能提供超越最佳实践的可执行性。平台,”谷歌笔记。SLSA分为四个级别,第四个级别是理想的state所有软件开发过程都受到保护,如下图:【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此阅读该作者更多好文
