Share This
Связаться со мной
Крути в низ
Categories
//Google представила SLSA, решение для борьбы с атаками на supply chain

Google представила SLSA, решение для борьбы с атаками на supply chain

23.06.2021Category : My Habr

google predstavila slsa reshenie dlja borby s atakami na supply chain 3d1545b - Google представила SLSA, решение для борьбы с атаками на supply chain

SLSA предусматривает защиту от восьми видов атак

Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), предназначенный для защиты от supply chain-атак — попыток внедрения вредоносного кода в процессе разработки ПО.

SLSA основан на процессе проверки кода Binary Authorization for Borg, разработанном самой Google и направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения. Компания использует BAB более восьми лет, на сегодня этот процесс обязателен для любого производственного процесса. 

SLSA предусматривает защиту от восьми видов атак, связанных с внедрением вредоносных изменений на стадиях написания кода, сборки, тестирования и распространения ПО, среди которых включение бэкдоров в исходный код, сборка кода, не соответствующего исходному, атака на сборочную платформу и другие. 

SLSA предусматривает четыре уровня защиты с соответствующими каждому требованиями к инфраструктуре. Чем выше уровень SLSA, тем надежнее защита от атак. Самый высокий, SLSA 4, предусматривает проверку всех изменений двумя разработчиками.

Атаки с компрометацией процесса разработки в последнее время участились, отмечает Google. Согласно данным компании Sonatype, количество атак на проекты с открытым исходным кодом увеличилось на 430% в течение 2020 года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты цепочки поставок.

«В своем текущем состоянии SLSA представляет собой набор постепенно адаптируемых правил безопасности, — указано в блоге компании. В Google отмечают, что в своем окончательном виде фреймворк будет «поддерживать автоматическое создание проверяемых метаданных». Внедрение SLSA может быть как поэтапным, так и единовременным. На четвертом уровне, обещают в компании, у потребителей будет уверенность в том, что код не был подделан и что его можно надежно отследить до его источника.

  • 1 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    blank
    Roman Spiridonov

    Моя специальность - Back-end Developer, Software Engineer Python. Мне 39 лет, я работаю в области информационных технологий более 5 лет. Опыт программирования на Python более 3 лет. На Django более 2 лет.

    Categories 05.

    © Speccy 2022 / All rights reserved

    Связаться со мной
    Close