Share This
Связаться со мной
Крути в низ
Categories
//Google представила SLSA, решение для борьбы с атаками на supply chain

Google представила SLSA, решение для борьбы с атаками на supply chain

23.06.2021Category : My Habr

google predstavila slsa reshenie dlja borby s atakami na supply chain 3d1545b - Google представила SLSA, решение для борьбы с атаками на supply chain

SLSA предусматривает защиту от восьми видов атак

Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), предназначенный для защиты от supply chain-атак — попыток внедрения вредоносного кода в процессе разработки ПО.

SLSA основан на процессе проверки кода Binary Authorization for Borg, разработанном самой Google и направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения. Компания использует BAB более восьми лет, на сегодня этот процесс обязателен для любого производственного процесса. 

SLSA предусматривает защиту от восьми видов атак, связанных с внедрением вредоносных изменений на стадиях написания кода, сборки, тестирования и распространения ПО, среди которых включение бэкдоров в исходный код, сборка кода, не соответствующего исходному, атака на сборочную платформу и другие. 

SLSA предусматривает четыре уровня защиты с соответствующими каждому требованиями к инфраструктуре. Чем выше уровень SLSA, тем надежнее защита от атак. Самый высокий, SLSA 4, предусматривает проверку всех изменений двумя разработчиками.

Атаки с компрометацией процесса разработки в последнее время участились, отмечает Google. Согласно данным компании Sonatype, количество атак на проекты с открытым исходным кодом увеличилось на 430% в течение 2020 года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты цепочки поставок.

«В своем текущем состоянии SLSA представляет собой набор постепенно адаптируемых правил безопасности, — указано в блоге компании. В Google отмечают, что в своем окончательном виде фреймворк будет «поддерживать автоматическое создание проверяемых метаданных». Внедрение SLSA может быть как поэтапным, так и единовременным. На четвертом уровне, обещают в компании, у потребителей будет уверенность в том, что код не был подделан и что его можно надежно отследить до его источника.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close