SolarWinds ve Codecov güvenlik olaylarının ardından yazılım tedarik zinciri saldırıları bir endişe kaynağı olarak ortaya çıktığından, Google, yazılım paketlerinin bütünlüğünü sağlamak ve yetkisiz değişiklikleri önlemek için bir çözüm önermekte.
"Yazılımlar için Tedarik Zinciri Düzeyleri" (SLSA ve "salsa" olarak telaffuz edilir) olarak adlandırılan uçtan uca çerçeve, yazılım geliştirme ve dağıtım hattını - yani kaynak ➞ inşa ➞ yayınlama iş akışını - güvence altına almayı ve tehditleri azaltmayı amaçlar. zincirdeki her bağlantıda kaynak kodun, yapı platformunun ve yapı deposunun kurcalanmasından kaynaklanır.
Google, SLSA'nın, kodun kaynağını doğrulayan ve dağıtılan üretim yazılımının uygun şekilde gözden geçirildiğini ve yetkilendirildiğini doğrulamak için kod kimliğini uygulayan bir dizi denetim aracı olan Borg için İkili Yetkilendirme adlı kendi dahili uygulama mekanizmasından ilham aldığını söyledi.
Google Açık Kaynak Güvenlik Ekibi'nden Kim Lewandowski ve Borg Ekibi için İkili Program Yetkilendirmesinden Mark Lodato, "Mevcut durumunda, SLSA, endüstri konsensüsüyle oluşturulmuş, aşamalı olarak uyarlanabilir bir güvenlik yönergeleri dizisidir" dedi.
"Son haliyle, SLSA, uygulanabilirliği açısından en iyi uygulamalar listesinden farklı olacaktır: belirli bir pakete veya yapı platformuna 'SLSA sertifikası' vermek için ilke motorlarına beslenebilecek denetlenebilir meta verilerin otomatik olarak oluşturulmasını destekleyecektir."
SLSA çerçevesi, uçtan uca yazılım tedarik zinciri bütünlüğü vaat eder ve hem artımlı hem de eyleme geçirilebilir olacak şekilde tasarlanmıştır. SLSA 4, yazılımın uygunsuz bir şekilde kurcalanmadığına dair yüksek derecede güven sunarken, ilerici yazılım güvenliği gelişmişliğinin dört farklı seviyesinden oluşur.
- SLSA 1 — Oluşturma sürecinin tamamen komut dosyasına yazılmasını/otomatikleştirilmesini ve kaynak oluşturmasını gerektirir
- SLSA 2 — Sürüm denetimi ve kimliği doğrulanmış kaynak oluşturan barındırılan bir derleme hizmetinin kullanılmasını gerektirir
- SLSA 3 — Kaynağın denetlenebilirliğini ve kaynağın bütünlüğünü garanti etmek için kaynak ve yapı platformlarının belirli standartları karşılamasını gerektirir
- SLSA 4 — Tüm değişikliklerin iki kişilik bir incelemesini ve hermetik, tekrarlanabilir bir oluşturma sürecini gerektirir
Lewandowski ve Lodato, "Daha yüksek SLSA seviyeleri, yapı platformu için daha güçlü güvenlik kontrolleri gerektirir, bu da uzlaşmayı ve kalıcılık kazanmayı daha zor hale getirir," diye belirttiler.
SLA 4 ideal son durumu temsil ederken, daha düşük seviyeler artımlı bütünlük garantileri sağlar ve aynı zamanda kötü niyetli aktörlerin uzun süreler boyunca ihlal edilmiş bir geliştirici ortamında gizlenmesini zorlaştırır.
Duyuruyla birlikte Google, karşılanması gereken Kaynak ve Yapı gereksinimleri hakkında ek ayrıntıları paylaştı ve ayrıca endüstriyi sistemi standartlaştırmaya ve SLSA'nın uzun vadede ele almayı umduğu belirli tehditleri ayrıntılandıran bir tehdit modeli tanımlamaya çağırıyor. .
Şirket, "Çoğu proje için en yüksek SLSA seviyesine ulaşmak zor olabilir, ancak daha düşük SLSA seviyeleri tarafından tanınan artımlı iyileştirmeler, açık kaynak ekosisteminin güvenliğini arttırmaya yönelik uzun bir yol kat edecek" dedi.
thehackernews'dan alıntıdır.
Hiç yorum yok:
Yorum Gönder