Google 与 GitHub 结盟,为保护软件供应链而战!
出品:CSDN(ID:CSDNnews)
整理:章雨銘? ? ? ?
責編:屠敏
4月7日,據谷歌透露,它一直在跟GitHub合作,創建一種防偽方法,用于簽署源代碼,解決像影響SolarWinds和Codecov等軟件供應鏈攻擊。
谷歌開源軟件供應鏈安全技術負責人Bob Callaway表示,這種方法的原型使用Go編程語言編寫,它使用GitHub Actions工作流程生成不可偽造的來源,用于隔離和代碼簽名工具,以確保Sigstore(是一個免費使用的非盈利軟件簽名服務,旨在通過簡化透明日志技術支持的加密軟件簽名的采用,提供公共公益/非營利服務,以改善開源軟件供應鏈。)提供的真實性。比如幫助構建于GitHub runners上的項目實現較高的SLSA級別,確保客戶的工件是可信且真實的。SLSA(軟件工件的供應鏈級別)框架旨在通過賦能用戶將軟件最終版本追溯到源代碼的方式,改進項目的完整性。而這一新方法的目標是實現SLSA第3級別(共4個級別)。
Callaway表示,谷歌還將致力于將安全功能嵌入DevOps平臺,以確保軟件供應鏈的完整性,此外還會告知開發人員構建更安全的軟件的方法。
牽一發而動全身
過去兩年,軟件供應鏈攻擊事件(對軟件包進行未經授權的修改)時有發生,并且呈上升趨勢。這種攻擊能夠影響所有用戶,效果明顯。軟件開發和供應鏈部署都是相當復雜的,從源代碼到構建再到發布,整個工作流程中會存在眾多威脅。
比如2020年底美國發生的“太陽風暴”攻擊。SolarWinds是一家總部位于美國的 IT 公司,專門為企業和政府機構開發管理軟件。黑客利用SolarWinds的網管軟件漏洞,攻陷了多個美國聯邦機構及500強企業網絡。包括美國國務院、五角大樓、國土安全局等政府部門也遭到入侵。
這是一起典型的軟件供應鏈攻擊,APT(某組織對特定對象展開的持續有效的攻擊活動)組織首先攻陷了SolarWinds的軟件倉庫(SVN)服務器,然后在SolarWinds的網管軟件Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為Sunburst,微軟則命名為“太陽門”(Solorigate)。此后,用戶下載安裝中毒的Orion軟件更新包后就會被植入木馬。?
SolarWinds事件的影響范圍非常廣,波及全球多個國家和地區的18000多個用戶,而且潛伏期長、隱蔽性強,被認為時“史上最嚴重”的供應鏈攻擊。
另外一起2021年4月發生的供應鏈攻擊事件,復雜性堪比SolarWinds供應鏈攻擊。軟件審計公司Codecov的產品代碼受到供應鏈攻擊,導致數百個客戶的網絡遭到非法訪問。Codecov的客戶規模高達2.9萬,其中包括許多大型科技品牌,例如IBM、Google、GoDaddy和HP,以及《華盛頓郵報》和知名消費品公司(寶潔)等等。
在保護供應鏈方面進展甚微
這些重大事件體現出軟件供應鏈存在的問題和隱患,軟件供應鏈攻擊難發現、難溯源、難清除,而攻擊的成本很低,效率又高。所以努力預防軟件供應鏈攻擊事件的發生以及事后積極補救都是很有必要的。
市場研究公司Vanson Bourne進行了一項調查(訪問了1750名IT安全決策者),在其4月發布的調查結果中顯示,盡管發生了一系列備受矚目的網絡安全漏洞,但近三分之二(62%)的受訪者沒有采取任何措施來保護他們的軟件供應鏈。整整64%的人承認無法阻止對其軟件開發環境的攻擊。這表明,在保護軟件供應鏈方面進展甚微,在這方面還需要做出更多的努力。
而這次谷歌和GitHub的聯手,能夠為軟件供應鏈安全帶來什么進展呢?對此谷歌表示:“不斷提升的防篡改 (SLSA 3+級別) build 服務采用率將保證更強勁的開源生態系統,并有助于縮短當前供應鏈中易被利用的差距。”
參考資料:
https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://hksanduo.github.io/2021/06/23/2021-06-24-introducing-google-slsa-end-to-end-framework/
https://devops.com/survey-sees-little-progress-on-securing-software-supply-chains/
未來智能實驗室的主要工作包括:建立AI智能系統智商評測體系,開展世界人工智能智商評測;開展互聯網(城市)大腦研究計劃,構建互聯網(城市)大腦技術和企業圖譜,為提升企業,行業與城市的智能水平服務。每日推薦范圍未來科技發展趨勢的學習型文章。目前線上平臺已收藏上千篇精華前沿科技文章和報告。
??如果您對實驗室的研究感興趣,歡迎加入未來智能實驗室線上平臺。掃描以下二維碼或點擊本文左下角“閱讀原文”
總結
以上是生活随笔為你收集整理的Google 与 GitHub 结盟,为保护软件供应链而战!的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Android官方开发文档Trainin
- 下一篇: BPEL4WS基础知识