??
您现在的位置:主页 > LED灯条电源 >

谷歌发布新框架以防止软件供应链攻击

发布日期:2021-06-20 04:40   来源:未知   阅读:

  2006谁的话最牛?随着软件供应链攻击在SolarWinds和Codecov安全事件之后成为一个关注点,谷歌提出了一种解决方案,以确保软件包的完整性并防止未经授权的修改。

  所谓的“供应链各级软件制品”(SLSA,并宣布“莎莎”),终端到终端的框架旨在确保软件开发和部署流水线-即源➞构建➞发布工作流程-和减轻威胁说由于在链中的每个环节篡改了源代码、构建平台和工件存储库。

  谷歌表示,SLSA 的灵感来自公司自己的内部执行机制,称为Borg 的二进制授权,这是一套审计工具,用于验证代码来源并实施代码身份,以确定部署的生产软件是否经过适当审查和授权。

  谷歌开源安全团队表示:“在当前状态下,SLSA是业内人士的共识正在建立一套增量可采用安全准则,”。

  在其最终形式中,SLSA 在其可执行性方面将不同于最佳实践列表:它将支持可审计元数据的自动创建,这些元数据可以输入到策略引擎中,从而为特定包或构建平台提供‘SLSA 认证’。

  东方联盟创始人郭盛华透露:“SLSA 框架承诺端到端的软件供应链完整性,旨在实现增量和可操作性。它包括四个不同级别的渐进式软件安全复杂性,SLSA 4 提供了对软件没有被不当修改的高度信心。”

  SLSA 2 — 需要使用版本控制和生成经过身份验证的出处的托管构建服务

  SLSA 3 — 要求源和构建平台满足特定标准,以保证源的可审计性和出处的完整性

  虽然 SLA 4 代表了理想的最终状态,但较低级别提供增量完整性保证,同时使恶意行为者难以长时间隐藏在受破坏的开发人员环境中。

  在宣布的同时,Google 还分享了有关需要满足的Source和Build要求的更多详细信息,并呼吁业界对系统进行标准化并定义威胁模型,详细说明 SLSA 希望长期解决的特定威胁.

  该公司表示:“为大多数项目实现最高级别的 SLSA 可能很困难,但较低 SLSA 级别所认可的渐进式改进已经大大有助于提高开源生态系统的安全性。” (欢迎转载分享)返回搜狐,查看更多www.nmgjo.com.cn

电源适配器 | PSE认证电源适配器 | CCC认证电源 | 澳洲认证电源适配器 | LED台灯电源适配器 | LED灯条电源 | 社区 | 新闻中心 | 企业文化 | GS认证电源适配器 |

佛山市迪智电源有限公司是一家专业从事AC/DC.DC/DC系列开关电源,电源适配器,电池充电器,LED驱动电源,RO净水机变压器等产品的研究,开发和制造为一体的高新技术企业,0757,26612339