Google与GitHub 结盟,为保护软件供应链而战
整理 | 章雨铭 责编 | 屠敏
出品 | CSDN(ID:CSDNnews)
4月7日,据谷歌透露,它一直在跟GitHub合作,创建一种防伪方法,用于签署源代码,解决像影响SolarWinds和Codecov等软件供应链攻击。
谷歌开源软件供应链安全技术负责人Bob Callaway表示,这种方法的原型使用Go编程语言编写,它使用GitHub Actions工作流程生成不可伪造的来源,用于隔离和代码签名工具,以确保Sigstore(是一个免费使用的非盈利软件签名服务,旨在通过简化透明日志技术支持的加密软件签名的采用,提供公共公益/非营利服务,以改善开源软件供应链。)提供的真实性。比如帮助构建于GitHub runners上的项目实现较高的SLSA级别,确保客户的工件是可信且真实的。SLSA(软件工件的供应链级别)框架旨在通过赋能用户将软件最终版本追溯到源代码的方式,改进项目的完整性。而这一新方法的目标是实现SLSA第3级别(共4个级别)。
Callaway表示,谷歌还将致力于将安全功能嵌入DevOps平台,以确保软件供应链的完整性,此外还会告知开发人员构建更安全的软件的方法。
牵一发而动全身
过去两年,软件供应链攻击事件(对软件包进行未经授权的修改)时有发生,并且呈上升趋势。这种攻击能够影响所有用户,效果明显。软件开发和供应链部署都是相当复杂的,从源代码到构建再到发布,整个工作流程中会存在众多威胁。
比如2020年底美国发生的“太阳风暴”攻击。SolarWinds是一家总部位于美国的 IT 公司,专门为企业和政府机构开发管理软件。黑客利用SolarWinds的网管软件漏洞,攻陷了多个美国联邦机构及500强企业网络。包括美国国务院、五角大楼、国土安全局等政府部门也遭到入侵。
这是一起典型的软件供应链攻击,APT(某组织对特定对象展开的持续有效的攻击活动)组织首先攻陷了SolarWinds的软件仓库(SVN)服务器,然后在SolarWinds的网管软件Orion 中植入了恶意软件。FireEye 将该恶意软件命名为Sunburst,微软则命名为“太阳门”(Solorigate)。此后,用户下载安装中毒的Orion软件更新包后就会被植入木马。
SolarWinds事件的影响范围非常广,波及全球多个国家和地区的18000多个用户,而且潜伏期长、隐蔽性强,被认为时“史上最严重”的供应链攻击。
另外一起2021年4月发生的供应链攻击事件,复杂性堪比SolarWinds供应链攻击。软件审计公司Codecov的产品代码受到供应链攻击,导致数百个客户的网络遭到非法访问。Codecov的客户规模高达2.9万,其中包括许多大型科技品牌,例如IBM、Google、GoDaddy和HP,以及《华盛顿邮报》和知名消费品公司(宝洁)等等。
在保护供应链方面进展甚微
这些重大事件体现出软件供应链存在的问题和隐患,软件供应链攻击难发现、难溯源、难清除,而攻击的成本很低,效率又高。所以努力预防软件供应链攻击事件的发生以及事后积极补救都是很有必要的。
市场研究公司Vanson Bourne进行了一项调查(访问了1750名IT安全决策者),在其4月发布的调查结果中显示,尽管发生了一系列备受瞩目的网络安全漏洞,**但近三分之二(62%)的受访者没有采取任何措施来保护他们的软件供应链。**整整64%的人承认无法阻止对其软件开发环境的攻击。这表明,在保护软件供应链方面进展甚微,在这方面还需要做出更多的努力。
而这次谷歌和GitHub的联手,能够为软件供应链安全带来什么进展呢?对此谷歌表示:“不断提升的防篡改 (SLSA 3+级别) build 服务采用率将保证更强劲的开源生态系统,并有助于缩短当前供应链中易被利用的差距。”
参考资料:
https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://hksanduo.github.io/2021/06/23/2021-06-24-introducing-google-slsa-end-to-end-framework/
https://devops.com/survey-sees-little-progress-on-securing-software-supply-chains/
Google与GitHub 结盟,为保护软件供应链而战相关推荐
- Google 与 GitHub 结盟,为保护软件供应链而战!
出品:CSDN(ID:CSDNnews) 整理:章雨铭 责编:屠敏 4月7日,据谷歌透露,它一直在跟GitHub合作,创建一种防伪方法,用于签署源代码,解决像影响SolarWinds和C ...
- 谷歌和GitHub 联手提出新方法,提振软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- 刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 刚刚,GitHub 在官网上宣布GitHub 已签署收购 npm 的协议.全文编译如下: 我很高兴地宣布,GitHub 已签署npm ...
- Kubernetes 时代的安全软件供应链
点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 汤志敏 阿里云 ...
- 美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全...
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 使用“Grafeas”元数据API和“Kritis”部署授权管理软件供应链
\ 看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料! \ \\ 在最近谷歌云平台(Google Cloud Platform,简称GCP)博客探讨容器安全的 ...
- 谈谈我对云原生与软件供应链安全的思考
作者:易立 2011 年,互联网技术先驱 Marc Andreessen 宣称,软件正在吞噬世界(Software is eating the world).由软件驱动的行业创新正在颠覆着传统业务模式 ...
- 软件供应链攻击的新形式
软件供应链攻击是一种新兴的攻击方式,它与传统攻击不同,一次软件供应链的攻击可以影响数百甚至上千个不同的目标. 简单的来说,假设我是一个网络犯罪分子,想要将恶意代码注入N个不同的目标.在一次传统的网络攻 ...
- 开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读
PART ONE Anchore 软件供应链安全报告解读 Anchore[1]是一家关注软件供应链安全的安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2].Grype[3].其在六月份发 ...
最新文章
- 一文区分什么是「过拟合」和「欠拟合」?
- OSPF的RID和DR/BDR的选举
- ajax动态加载公共模块,Maven多模块项目搭建+SSM框架整合(四、Ajax异步获取数据,jq动态添加)...
- ubuntu 安装使用多版本opencv
- Unity2018新功能抢鲜 | 粒子系统改进
- 高度不定垂直居中_CSS垂直居中的七个方法
- DoIP诊断概念入门
- JLINK驱动版本更换
- samkoon触摸屏软件sktool编程下载问题
- html 圣诞节贺卡模板,圣诞节立体贺卡模板大全
- 用python画星空-用Python画一个超级月亮
- 转载-常用邮箱SMTP服务器地址大全
- openwrt设置网络共享
- 【更新中21/31】NTIRE 2022 ESR(efficient super-resolution) 方案与结果
- 如何把华为数据分析项目写进简历
- 使用NMT和pmap解决JVM资源泄漏问题
- 金字塔原理4个基本原则_总结盆景养护的4个原则
- 服务器ibm3650性能,IBM System x3650 M3系列参数、功能、性能_IBM System x3650 M3系列服务器配置_太平洋产品报价...
- Windows编译libjpeg库
- 【其他】Beyond Compare 4 授权密钥被吊销的解决办法,超简单!!!!