Google 与 GitHub 结盟,为保护软件供应链而战!
出品:CSDN(ID:CSDNnews)
整理:章雨銘? ? ? ?
責(zé)編:屠敏
4月7日,據(jù)谷歌透露,它一直在跟GitHub合作,創(chuàng)建一種防偽方法,用于簽署源代碼,解決像影響SolarWinds和Codecov等軟件供應(yīng)鏈攻擊。
谷歌開源軟件供應(yīng)鏈安全技術(shù)負(fù)責(zé)人Bob Callaway表示,這種方法的原型使用Go編程語言編寫,它使用GitHub Actions工作流程生成不可偽造的來源,用于隔離和代碼簽名工具,以確保Sigstore(是一個(gè)免費(fèi)使用的非盈利軟件簽名服務(wù),旨在通過簡(jiǎn)化透明日志技術(shù)支持的加密軟件簽名的采用,提供公共公益/非營(yíng)利服務(wù),以改善開源軟件供應(yīng)鏈。)提供的真實(shí)性。比如幫助構(gòu)建于GitHub runners上的項(xiàng)目實(shí)現(xiàn)較高的SLSA級(jí)別,確保客戶的工件是可信且真實(shí)的。SLSA(軟件工件的供應(yīng)鏈級(jí)別)框架旨在通過賦能用戶將軟件最終版本追溯到源代碼的方式,改進(jìn)項(xiàng)目的完整性。而這一新方法的目標(biāo)是實(shí)現(xiàn)SLSA第3級(jí)別(共4個(gè)級(jí)別)。
Callaway表示,谷歌還將致力于將安全功能嵌入DevOps平臺(tái),以確保軟件供應(yīng)鏈的完整性,此外還會(huì)告知開發(fā)人員構(gòu)建更安全的軟件的方法。
牽一發(fā)而動(dòng)全身
過去兩年,軟件供應(yīng)鏈攻擊事件(對(duì)軟件包進(jìn)行未經(jīng)授權(quán)的修改)時(shí)有發(fā)生,并且呈上升趨勢(shì)。這種攻擊能夠影響所有用戶,效果明顯。軟件開發(fā)和供應(yīng)鏈部署都是相當(dāng)復(fù)雜的,從源代碼到構(gòu)建再到發(fā)布,整個(gè)工作流程中會(huì)存在眾多威脅。
比如2020年底美國(guó)發(fā)生的“太陽(yáng)風(fēng)暴”攻擊。SolarWinds是一家總部位于美國(guó)的 IT 公司,專門為企業(yè)和政府機(jī)構(gòu)開發(fā)管理軟件。黑客利用SolarWinds的網(wǎng)管軟件漏洞,攻陷了多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)及500強(qiáng)企業(yè)網(wǎng)絡(luò)。包括美國(guó)國(guó)務(wù)院、五角大樓、國(guó)土安全局等政府部門也遭到入侵。
這是一起典型的軟件供應(yīng)鏈攻擊,APT(某組織對(duì)特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng))組織首先攻陷了SolarWinds的軟件倉(cāng)庫(kù)(SVN)服務(wù)器,然后在SolarWinds的網(wǎng)管軟件Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為Sunburst,微軟則命名為“太陽(yáng)門”(Solorigate)。此后,用戶下載安裝中毒的Orion軟件更新包后就會(huì)被植入木馬。?
SolarWinds事件的影響范圍非常廣,波及全球多個(gè)國(guó)家和地區(qū)的18000多個(gè)用戶,而且潛伏期長(zhǎng)、隱蔽性強(qiáng),被認(rèn)為時(shí)“史上最嚴(yán)重”的供應(yīng)鏈攻擊。
另外一起2021年4月發(fā)生的供應(yīng)鏈攻擊事件,復(fù)雜性堪比SolarWinds供應(yīng)鏈攻擊。軟件審計(jì)公司Codecov的產(chǎn)品代碼受到供應(yīng)鏈攻擊,導(dǎo)致數(shù)百個(gè)客戶的網(wǎng)絡(luò)遭到非法訪問。Codecov的客戶規(guī)模高達(dá)2.9萬,其中包括許多大型科技品牌,例如IBM、Google、GoDaddy和HP,以及《華盛頓郵報(bào)》和知名消費(fèi)品公司(寶潔)等等。
在保護(hù)供應(yīng)鏈方面進(jìn)展甚微
這些重大事件體現(xiàn)出軟件供應(yīng)鏈存在的問題和隱患,軟件供應(yīng)鏈攻擊難發(fā)現(xiàn)、難溯源、難清除,而攻擊的成本很低,效率又高。所以努力預(yù)防軟件供應(yīng)鏈攻擊事件的發(fā)生以及事后積極補(bǔ)救都是很有必要的。
市場(chǎng)研究公司Vanson Bourne進(jìn)行了一項(xiàng)調(diào)查(訪問了1750名IT安全決策者),在其4月發(fā)布的調(diào)查結(jié)果中顯示,盡管發(fā)生了一系列備受矚目的網(wǎng)絡(luò)安全漏洞,但近三分之二(62%)的受訪者沒有采取任何措施來保護(hù)他們的軟件供應(yīng)鏈。整整64%的人承認(rèn)無法阻止對(duì)其軟件開發(fā)環(huán)境的攻擊。這表明,在保護(hù)軟件供應(yīng)鏈方面進(jìn)展甚微,在這方面還需要做出更多的努力。
而這次谷歌和GitHub的聯(lián)手,能夠?yàn)檐浖?yīng)鏈安全帶來什么進(jìn)展呢?對(duì)此谷歌表示:“不斷提升的防篡改 (SLSA 3+級(jí)別) build 服務(wù)采用率將保證更強(qiáng)勁的開源生態(tài)系統(tǒng),并有助于縮短當(dāng)前供應(yīng)鏈中易被利用的差距。”
參考資料:
https://blog.malwarebytes.com/threat-analysis/2020/12/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://devops.com/google-allies-with-github-to-secure-software-supply-chains/?continueFlag=2f26b10f29cc91e698704386ba9416e6
https://hksanduo.github.io/2021/06/23/2021-06-24-introducing-google-slsa-end-to-end-framework/
https://devops.com/survey-sees-little-progress-on-securing-software-supply-chains/
未來智能實(shí)驗(yàn)室的主要工作包括:建立AI智能系統(tǒng)智商評(píng)測(cè)體系,開展世界人工智能智商評(píng)測(cè);開展互聯(lián)網(wǎng)(城市)大腦研究計(jì)劃,構(gòu)建互聯(lián)網(wǎng)(城市)大腦技術(shù)和企業(yè)圖譜,為提升企業(yè),行業(yè)與城市的智能水平服務(wù)。每日推薦范圍未來科技發(fā)展趨勢(shì)的學(xué)習(xí)型文章。目前線上平臺(tái)已收藏上千篇精華前沿科技文章和報(bào)告。
??如果您對(duì)實(shí)驗(yàn)室的研究感興趣,歡迎加入未來智能實(shí)驗(yàn)室線上平臺(tái)。掃描以下二維碼或點(diǎn)擊本文左下角“閱讀原文”
總結(jié)
以上是生活随笔為你收集整理的Google 与 GitHub 结盟,为保护软件供应链而战!的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Android官方开发文档Trainin
- 下一篇: BPEL4WS基础知识