聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
谷歌的开源安全团队解释称,在 SolarWinds 攻击中,黑客获取对 build 服务器的控制并将恶意工件注入 build 平台。在Codecov 攻击中,攻击者绕过可信构建器上传其工件。
谷歌解释称,“如果能够检测出所交付的偏离软件预期来源的工件,那么所有这些攻击本可避免。但直到今天,仍然难以生成描述软件工件在哪里、何时以及如何生成的可验证信息(即来源信息)。这一信息可使用户追溯工件来源并形成基于风险的策略。”
现在,谷歌和GitHub 提出一种生成“不可伪造的来源”的新方法,使用GitHub Actions 工作流进行隔离以及 Sigstore 签名工具进行认证。如此,帮助构建于 GitHub runners 上的项目实现较高的SLSA 级别,确保客户的工件是可信且真实的。SLSA(软件工件的供应链级别)框架旨在通过赋能用户将软件最终版本追溯到源代码的方式,改进项目的完整性。而这一新方法的目标是实现SLSA 第3级别(共4个级别)。
本周四,谷歌发布文章说明了“build来源”,聚焦于执行发布流程的实体以及build 工件是否可防御恶意修改。谷歌将于不久之后发布聚焦于“源之来源”,说明源代码如何得到保护。GitHub 在本周四也发布相关博客文章。
对于build 来源,两家公司已创建两款原型工具:一个用于生成无法伪造的build 来源,一个用于验证工件及其签名的来源。目前,仅支持通过Go语言创建的应用程序,不过后续将扩展至其它语言。
两家公司提供了该流程的详细说明。
谷歌表示,“使用SLSA框架是确保大规模供应链完整性的行之有效的方法。这一原型表明,得益于流行CI/CD系统和开源工具的最新特性,实现较高的SLSA级别比之前都要容易。不断提升的防篡改 (SLSA 3+级别) build 服务采用率将保证更强劲的开源生态系统,并有助于缩短当前供应链中易被利用的差距。”
几周后,该项目的首个版本将发布。同时,谷歌和GitHub 鼓励感兴趣的用户进行测试并分享反馈。
https://www.securityweek.com/google-teams-github-supply-chain-security
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):谷歌和GitHub 联手提出新方法,提振软件供应链安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论