Google запустила фреймворк SLSA для обеспечения целостности цепочки поставок

Google запустила фреймворк SLSA для обеспечения целостности цепочки поставок

SLSA основан на процессе проверки кода Binary Authorization for Borg компании Google.

image

Специалисты компании Google представили фреймворк Supply chain Levels for Software Artifacts (SLSA), обеспечивающий целостность программных артефактов по всей цепочке поставок программного обеспечения.

SLSA основан на процессе проверки кода Binary Authorization for Borg (BAB) компании Google, направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения, особенно если оно имеет доступ к пользовательским данным. Google использует BAB более восьми лет и система является обязательной для всех производственных рабочих нагрузок.

SLSA призван защитить от атак на целостность цепочки поставок, число которых, по словам Google, увеличилось за последние два года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты сложной цепочки поставок.

SLSA будет «поддерживать автоматическое создание проверяемых метаданных», которые могут быть введены в механизмы политик для предоставления «сертификации SLSA» для пакета или платформы сборки.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.