Los Google-kehittäjät esittivät "SLSA" (Supply-chain Levels for Software Artifacts), jonka tarkoituksena on huolehtia kehitysinfrastruktuurin suojaaminen tuotteen koodauksen, testauksen, rakentamisen ja jakelun aikana tehdyt hyökkäykset.
Kehittäjät mainita, että kehitysprosessit ovat yhä monimutkaisempia ja riippuvaisia kolmansien osapuolten työkaluista, joka luo suotuisat olosuhteet sellaisten hyökkäysten edistämiselle, jotka eivät liity lopputuotteen haavoittuvuuksien tunnistamiseen ja hyödyntämiseen, vaan itse kehitysprosessin sitoutumiseen.
Tietoja SLSA: sta
Mainitaan, että SLSA keskittyy seuraaviin kahteen perusperiaatteeseen:
Ei yksipuolinen - kukaan ei saa muokata ohjelmistoesineitä missään ohjelmiston toimitusketjussa ilman nimenomaista tarkastusta ja vähintään yhden muun "luotettavan henkilön" hyväksyntää. [^ 1] Tarkoitus on ehkäistä, ehkäistä tai ennalta havaita riskit / huonot muutokset.
Tarkastettava - ohjelmisto-artefakti voidaan jäljittää turvallisesti ja läpinäkyvästi alkuperäisiin, ihmisten luettaviin lähteisiin ja riippuvuuksiin. Päätarkoitus on automaattinen lähde- ja riippuvuusanalyysi sekä tapauskohtaiset tutkimukset.
Estää merkittyjä uhkia SLSA tarjoaa joukon ohjeita ja työkaluja metatietojen luomisen automatisoimiseksi tarkastusta varten. SLSA tiivistää yleiset hyökkäysmenetelmät ja esittelee suojaustasojen käsitteen.
Jokaisella kerroksella on erityiset infrastruktuurivaatimukset, jotta voidaan varmistaa kehityksessä käytettyjen esineiden eheys, toisin sanoen mitä korkeampi tuettu SLSA-taso, sitä enemmän puolustuksia toteutetaan ja infrastruktuuri on paremmin suojattu tyypillisiltä hyökkäyksiltä.
SLSA-taso 1
Tällä tasolla vaatii rakennusprosessin olevan täysin automatisoitu ja tuottamaan metatietoja ('Provention') siitä, miten artefaktit kerätään, mukaan lukien lähde, riippuvuus ja prosessitiedot (GitHub-toiminnoille on annettu näyte metatietojen generaattorista tarkastusta varten). SLSA 1 ei sisällä suojaelementtejä haitallisilta muutoksiltaSe tunnistaa koodin vain yksinkertaisimmalla tavalla ja tarjoaa metatiedot haavoittuvuuden hallintaa ja riskianalyysiä varten.
SLSA-taso 2
Tällöin ensimmäistä kerrosta laajennetaan vaatimalla lähdeohjausjärjestelmän käyttöä ja rakennuspalveluja, jotka luovat todennetut metatiedot. Käyttö SLSA 2 antaa sinun jäljittää koodin alkuperän ja estää luvattomat muutokset koodissa, jos käytetään luotettavia kokoonpanopalveluja.
SLSA-taso 3
Tästä hetkestätai lähdekoodin ja koontialustan on vahvistettu täyttävän standardien vaatimukset sen varmistamiseksi, että koodi voidaan tarkastaa ja että toimitettujen metatietojen eheys taataan. Tilintarkastajien on tarkoitus pystyä sertifioimaan alustat standardien vaatimusten mukaisiksi.
SLSA-taso 4
Tämä on korkein taso ja se täydentää myös edellisiä tasoja lisäämällä paljon tiukemmat vaatimukset, joiden mukaan kahden eri kehittäjän on pakko tarkistaa kaikki muutokset sekä kaikki kääntövaiheet, koodi ja riippuvuudet. Niiden on oltava täysin ilmoitettu, kaikki riippuvuudet on tarkistettava ja tarkistettava erikseen, ja rakennusprosessi on tehtävä offline-tilassa.
Toistettavan kokoamisprosessin käyttö tarjoaa myös mahdollisuuden toistaa kokoamisprosessi ja varmistaa, että suoritettava tiedosto käännetään toimitetuista lähteistä.
Sen lisäksi tässä kehyksessä otetaan huomioon 8 hyökkäystyyppiä liittyvät haitallisten muutosten uhkiin tuotekoodin kehitys-, kokoamis-, testaus- ja jakeluvaiheessa.
Huomioitavat hyökkäystyypit Ne ovat seuraavat:
1.- Sisällytä lähdekoodiin muutokset, jotka sisältävät takaovia tai piileviä virheitä, jotka johtavat haavoittuvuuksiin.
2.- Lähteen ohjausalustan sitoutuminen.
3.- Tee muutokset koodinsiirtovaiheessa kokoamis- tai jatkuvaan integrointijärjestelmään (kerätään koodi, joka ei vastaa arkistokoodia).
4.- Rakennusalustan sitoutuminen
5.- Haitallisen koodin mainostaminen heikkolaatuisten riippuvuuksien avulla.
6. - Ladataan esineitä, joita ei ole luotu CI / CD-järjestelmässä.
7.- Pakettivaraston vaarantuminen.
8.- Hämmennystä asennettaessa väärä paketti.
Vihdoin jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.