Google Rilis Framework Baru untuk Mencegah Serangan Software Supply Chain

Ketika serangan rantai pasokan perangkat lunak muncul sebagai titik perhatian setelah insiden keamanan SolarWinds dan Codecov, Google mengusulkan solusi untuk memastikan integritas paket perangkat lunak dan mencegah modifikasi yang tidak sah.

Disebut "Supply chain Levels for Software Artifacts" (SLSA, dan diucapkan "salsa"), kerangka kerja ujung ke ujung bertujuan untuk mengamankan pengembangan perangkat lunak dan jalur penyebaran — yaitu, sumber source membangun ? menerbitkan alur kerja — dan mengurangi ancaman yang muncul dari gangguan dengan kode sumber, platform build, dan repositori artefak di setiap tautan dalam rantai.

Google mengatakan SLSA terinspirasi oleh pemeriksaan penegakan internal perusahaan yang disebut Otorisasi Biner untuk Borg, seperangkat alat audit yang memverifikasi asal kode dan mengimplementasikan identitas kode untuk memastikan bahwa perangkat lunak produksi yang digunakan ditinjau dan disahkan dengan benar.

"Dalam kondisinya saat ini, SLSA adalah seperangkat pedoman keamanan yang dapat diadopsi secara bertahap yang ditetapkan oleh konsensus industri," kata Kim Lewandowski dari Tim Keamanan Sumber Terbuka Google dan Mark Lodato dari Otorisasi Biner untuk Tim Borg.

Dalam bentuk akhirnya, SLSA akan berbeda dari daftar praktik terbaik dalam penerapannya: SLSA akan mendukung pembuatan otomatis metadata yang dapat diaudit yang dapat dimasukkan ke dalam mesin kebijakan untuk memberikan "sertifikasi SLSA" ke paket atau platform pembangunan tertentu."

Kerangka kerja SLSA menjanjikan integritas rantai pasokan perangkat lunak ujung ke ujung dan dirancang untuk menjadi tambahan dan dapat ditindaklanjuti. Ini terdiri dari empat tingkat kecanggihan keamanan perangkat lunak progresif yang berbeda, dengan SLSA 4 menawarkan tingkat kepercayaan yang tinggi bahwa perangkat lunak tersebut tidak direkayasa secara tidak benar.

    SLSA 1 — Mengharuskan proses pembangunan sepenuhnya skrip/otomatis dan menghasilkan asal
    SLSA 2 — Memerlukan penggunaan kontrol versi dan layanan build yang dihosting yang menghasilkan asal yang diautentikasi
    SLSA 3 — Mengharuskan sumber dan platform pembangunan memenuhi standar khusus untuk menjamin kemampuan audit sumber dan integritas asalnya
    SLSA 4 — Memerlukan peninjauan dua orang untuk semua perubahan dan proses pembuatan yang hermetis dan dapat direproduksi

"Tingkat SLSA yang lebih tinggi memerlukan kontrol keamanan yang lebih kuat untuk platform build, sehingga lebih sulit untuk dikompromikan dan mendapatkan kegigihan," kata Lewandowski dan Lodato.

Sementara SLA 4 mewakili keadaan akhir yang ideal, tingkat yang lebih rendah memberikan jaminan integritas tambahan, pada saat yang sama mempersulit aktor jahat untuk tetap bersembunyi di lingkungan pengembang yang dilanggar untuk waktu yang lama.

Bersamaan dengan pengumuman tersebut, Google telah membagikan detail tambahan tentang persyaratan Sumber dan Build yang harus dipenuhi, dan juga menyerukan kepada industri untuk menstandarisasi sistem dan menentukan model ancaman yang merinci ancaman spesifik yang ingin ditangani SLSA dalam jangka panjang. .

"Mencapai tingkat SLSA tertinggi untuk sebagian besar proyek mungkin sulit, tetapi peningkatan bertahap yang diakui oleh tingkat SLSA yang lebih rendah akan sangat membantu meningkatkan keamanan ekosistem sumber terbuka," kata perusahaan itu.


Posted On 18 Juni 2021 at 14:34:32


Shared With : Shortlink





Another News
Pargoy Sindrom atau Syndrome

Pargoy adalah singkatan dari kata Partay dan Goyang. dimana dalam kelompok tersebut melakukan..

Foto Terduga Pelaku Pembunuhan & Pemerkosa Mahasiswi Unibraw Viral di twitter

Mahasiswi Unibraw alm. Novi Widiasari yatim yang diperkosa hingga meninggal menjadi fokus netizen..

Resesi Seks Melanda Sejumlah Negara

Resesi Seks dalam ini bukan diartikan penduduk suatu negara tidak melakukan hubungan seksual...

Pasar Sumpiuh Kebakaran Rabu Dini Hari ini

Banyumas, Pasar Sumpiuh yang terletak di kabupaten Banyumas, jawa tengah Rabu, 17 November 2021..

Penjualan Video Bokep Amatiran Mulai Marak di MiChat

Bisnis film pornografi di dunia barat atau eropa memang menjadi sebuah industri yang banyak..

Most Popular Articles
Article
Kelebihan atau Keuntungan dan Kekurangan atau Kerugian IUD atau KB Spiral

Ada berbagai macam jenis KB antara lain PIL, Suntik, Kondom, Alami dan Spiral atau IUD. Kali ini..

Article
Apa itu La Galigo ?

Beberapa waktu lalu Jakarta Booming dengan pertunjukkan I La Galigo. Penasaran dengan kisah..