Google запустила фреймворк SLSA для обеспечения целостности цепочки поставок

Google запустила фреймворк SLSA для обеспечения целостности цепочки поставок

SLSA основан на процессе проверки кода Binary Authorization for Borg компании Google.

Специалисты компании Google представили фреймворк Supply chain Levels for Software Artifacts (SLSA), обеспечивающий целостность программных артефактов по всей цепочке поставок программного обеспечения.

SLSA основан на процессе проверки кода Binary Authorization for Borg (BAB) компании Google, направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения, особенно если оно имеет доступ к пользовательским данным. Google использует BAB более восьми лет и система является обязательной для всех производственных рабочих нагрузок.

SLSA призван защитить от атак на целостность цепочки поставок, число которых, по словам Google, увеличилось за последние два года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты сложной цепочки поставок.

SLSA будет «поддерживать автоматическое создание проверяемых метаданных», которые могут быть введены в механизмы политик для предоставления «сертификации SLSA» для пакета или платформы сборки.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену