随着软件供应链攻击在SolarWinds和Codecov安全事件之后成为一个关注点,谷歌提出了一种解决方案,以确保软件包的完整性并防止未经授权的修改。
所谓的“供应链各级软件制品”(SLSA,并宣布“莎莎”),终端到终端的框架旨在确保软件开发和部署流水线-即源➞构建➞发布工作流程-和减轻威胁说由于在链中的每个环节篡改了源代码、构建平台和工件存储库。
谷歌表示,SLSA 的灵感来自公司自己的内部执行机制,称为Borg 的二进制授权,这是一套审计工具,用于验证代码来源并实施代码身份,以确定部署的生产软件是否经过适当审查和授权。
谷歌开源安全团队表示:“在当前状态下,SLSA是业内人士的共识正在建立一套增量可采用安全准则,”。
代码依赖
在其最终形式中,SLSA 在其可执行性方面将不同于最佳实践列表:它将支持可审计元数据的自动创建,这些元数据可以输入到策略引擎中,从而为特定包或构建平台提供‘SLSA 认证’。
东方联盟创始人郭盛华透露:“SLSA 框架承诺端到端的软件供应链完整性,旨在实现增量和可操作性。它包括四个不同级别的渐进式软件安全复杂性,SLSA 4 提供了对软件没有被不当修改的高度信心。”
SLSA 1 — 要求构建过程完全脚本化/自动化并生成出处
SLSA 2 — 需要使用版本控制和生成经过身份验证的出处的托管构建服务
SLSA 3 — 要求源和构建平台满足特定标准,以保证源的可审计性和出处的完整性
SLSA 4 — 需要两人对所有更改和密封、可重复的构建过程进行审查
虽然 SLA 4 代表了理想的最终状态,但较低级别提供增量完整性保证,同时使恶意行为者难以长时间隐藏在受破坏的开发人员环境中。
企业密码管理
在宣布的同时,Google 还分享了有关需要满足的Source和Build要求的更多详细信息,并呼吁业界对系统进行标准化并定义威胁模型,详细说明 SLSA 希望长期解决的特定威胁.
该公司表示:“为大多数项目实现最高级别的 SLSA 可能很困难,但较低 SLSA 级别所认可的渐进式改进已经大大有助于提高开源生态系统的安全性。” (欢迎转载分享)