近日,谷歌推出了SLSA(SupplychainLevelsforSoftwareArtifacts),这是一个全新的端到端框架。谷歌希望通过SLSA来推动标准和指南的实施。确保整个软件供应链中软件工件的完整性。供应链完整性攻击在过去两年中显着增加,并已成为影响所有用户的常见攻击向量。谷歌开源安全团队指出,虽然市场上有部分解决方案,但没有一个完整的端到端框架可以定义如何缓解软件供应链中的威胁并提供一定的安全保障。鉴于最近像Solaris和Codecov这样大规模的攻击,谷歌认为需要一个通用框架来保护开发人员和用户。谷歌在一份声明中表示:“SLSA被设计为增量和可操作的,并在每一步都提供安全优势。一旦一个工件满足最高级别的要求,消费者就可以相信它没有被篡改并且是安全的。可追溯回到它的源头——对于当今的大多数软件来说,即使不是不可能,也很难。SLSA的目标是改善行业状况,尤其是开源代码的状态,以应对最紧迫的完整性威胁。有了SLSA,消费者可以就他们使用的软件的安全状况做出明智的选择。”谷歌表示,SLSA框架的灵感来自其强制性内部“Borg二进制授权”执行检查器,该检查器可确保生产软件得到适当的审查和授权,尤其是在代码可以访问用户数据的情况下。Borg的BinaryAuthorization已在谷歌内部使用了8年,是谷歌所有生产工作负载的强制检查器。谷歌表示,该框架由四个级别组成——SLSA1到SLSA4——级别的增加对应于完整性保证的增加。例如,SLSA1要求构建过程完全脚本化/自动化并生成出处(关于工件构建方式的元数据,包括构建过程、顶级源和依赖项);而SLSA2将需要使用版本控制和生成托管构建服务。对于更高级别,SLSA3将要求源代码和构建平台满足特定标准,以确保源代码的可审计性和源完整性;而SLSA4将需要两人审查所有更改,并具有可重复的构建过程。谷歌表示:“两人审查是发现错误和阻止不良行为的行业最佳实践。”目前在GitHub上可用的拟议框架目前包括就“安全”软件供应链的定义达成共识的尝试;组织的认证过程,以证明符合采用的标准;和技术控制,以记录来源并检测或防止不合格。本文转自OSCHINA文章标题:谷歌推出SLSA框架加强供应链完整性本文地址:https://www.oschina.net/news/147067/google-slsa-framework-enforce-supply-chain-正直
