Supply-chain Levels for Software Artifacts

Nytt Google-prosjekt skal forhindre forsyningskjede-angrep via kodebiblioteker

Rammeverket Supply-chain Levels for Software Artifacts skal løse problemet med farlige programbiblioteker.

Nytt Google-prosjekt skal forhindre forsyningskjede-angrep via kodebiblioteker
(Illustrasjon: Ingeniøren)

Rammeverket Supply-chain Levels for Software Artifacts skal løse problemet med farlige programbiblioteker.

Pakkebiblioteker og relaterte verktøy er tilgjengelige for de fleste moderne programmeringsspråk: NPM for Javascript, Maven Repositories for Java, Pypi for Python og så videre.

Imidlertid er det sjelden noen sikkerhetsgarantier knyttet til pakkene. Hvis produktet er åpen kildekode, kan utvikleren eller firmaet gjennomgå kildekoden, men dette er som regel ikke praktisk mulig på grunn av bibliotekenes størrelse.

Hvis biblioteket finnes i binær form, er det dessuten sjelden noen garanti for at det binære produktet faktisk stammer fra kildekoden.

Etisk hacking-angrep på Apple, Paypal og andre har vist at kodebiblioteker er en reell fare, og de utgjorde også en del av det omfattende Solarwinds-angrepet.

Trinnvise sikkerhetsretningslinjer

Nå vil Google gjøre noe med problemet. Selskapet har lagt et forslag på bordet kalt Supply-chain Levels for Software Artifacts (SLSA).

Det er et ende-til-ende-rammeverk basert på et internt Google-produkt som ifølge utviklerne har vært i drift i selskapet i åtte år.

SLSA er et sett med trinnvise sikkerhetsretningslinjer som er fastsatt ut fra bransjepraksis, skriver Googles utviklere i et blogginnlegg.

Sertifisering

I sin endelige form vil SLSA imidlertid være mer enn bare en liste over «beste praksis». Rammeverket vil støtte automatisk generering av metadata som kan styres maskinelt og tilby en slags sertifisering for en gitt programvarepakke eller byggeplattform.

Det er mer informasjon om rammeverket på prosjektets nettsted.

Denne artikkelen ble først publisert på Version 2.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen