Google与GitHub 结盟,为保护软件供应链而战
牵一发而动全身。
整理 | 章雨铭 责编 | 屠敏
出品 | CSDN(ID:CSDNnews)
4月7日,据谷歌透露,它一直在跟GitHub合作,创建一种防伪方法,用于签署源代码,解决像影响SolarWinds和Codecov等软件供应链攻击。
谷歌开源软件供应链安全技术负责人Bob Callaway表示,这种方法的原型使用Go编程语言编写,它使用GitHub Actions工作流程生成不可伪造的来源,用于隔离和代码签名工具,以确保Sigstore(是一个免费使用的非盈利软件签名服务,旨在通过简化透明日志技术支持的加密软件签名的采用,提供公共公益/非营利服务,以改善开源软件供应链。)提供的真实性。比如帮助构建于GitHub runners上的项目实现较高的SLSA级别,确保客户的工件是可信且真实的。SLSA(软件工件的供应链级别)框架旨在通过赋能用户将软件最终版本追溯到源代码的方式,改进项目的完整性。而这一新方法的目标是实现SLSA第3级别(共4个级别)。
Callaway表示,谷歌还将致力于将安全功能嵌入DevOps平台,以确保软件供应链的完整性,此外还会告知开发人员构建更安全的软件的方法。
牵一发而动全身
过去两年,软件供应链攻击事件(对软件包进行未经授权的修改)时有发生,并且呈上升趋势。这种攻击能够影响所有用户,效果明显。软件开发和供应链部署都是相当复杂的,从源代码到构建再到发布,整个工作流程中会存在众多威胁。
比如2020年底美国发生的“太阳风暴”攻击。SolarWinds是一家总部位于美国的 IT 公司,专门为企业和政府机构开发管理软件。黑客利用SolarWinds的网管软件漏洞,攻陷了多个美国联邦机构及500强企业网络。包括美国国务院、五角大楼、国土安全局等政府部门也遭到入侵。
这是一起典型的软件供应链攻击,APT(某组织对特定对象展开的持续有效的攻击活动)组织首先攻陷了SolarWinds的软件仓库(SVN)服务器,然后在SolarWinds的网管软件Orion 中植入了恶意软件。FireEye 将该恶意软件命名为Sunburst,微软则命名为“太阳门”(Solorigate)。此后,用户下载安装中毒的Orion软件更新包后就会被植入木马。
SolarWinds事件的影响范围非常广,波及全球多个国家和地区的18000多个用户,而且潜伏期长、隐蔽性强,被认为时“史上最严重”的供应链攻击。
另外一起2021年4月发生的供应链攻击事件,复杂性堪比SolarWinds供应链攻击。软件审计公司Codecov的产品代码受到供应链攻击,导致数百个客户的网络遭到非法访问。Codecov的客户规模高达2.9万,其中包括许多大型科技品牌,例如IBM、Google、GoDaddy和HP,以及《华盛顿邮报》和知名消费品公司(宝洁)等等。
在保护供应链方面进展甚微
这些重大事件体现出软件供应链存在的问题和隐患,软件供应链攻击难发现、难溯源、难清除,而攻击的成本很低,效率又高。所以努力预防软件供应链攻击事件的发生以及事后积极补救都是很有必要的。
市场研究公司Vanson Bourne进行了一项调查(访问了1750名IT安全决策者),在其4月发布的调查结果中显示,尽管发生了一系列备受瞩目的网络安全漏洞,**但近三分之二(62%)的受访者没有采取任何措施来保护他们的软件供应链。**整整64%的人承认无法阻止对其软件开发环境的攻击。这表明,在保护软件供应链方面进展甚微,在这方面还需要做出更多的努力。
而这次谷歌和GitHub的联手,能够为软件供应链安全带来什么进展呢?对此谷歌表示:“不断提升的防篡改 (SLSA 3+级别) build 服务采用率将保证更强劲的开源生态系统,并有助于缩短当前供应链中易被利用的差距。”
参考资料:
https://hksanduo.github.io/2021/06/23/2021-06-24-introducing-google-slsa-end-to-end-framework/
https://devops.com/survey-sees-little-progress-on-securing-software-supply-chains/
20年前,《新程序员》创刊时,我们的心愿是全面关注程序员成长,中国将拥有新一代世界级的程序员。20年后的今天,我们有了新的使命:助力中国IT技术人成长,成就一亿技术人!
更多推荐
1
0- 0
已为社区贡献12386条内容
所有评论(0)