[Информационная безопасность] Google представила SLSA, решение для борьбы с атаками на supply chain
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
SLSA предусматривает защиту от восьми видов атакКомпания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), предназначенный для защиты от supply chain-атак — попыток внедрения вредоносного кода в процессе разработки ПО.SLSA основан на процессе проверки кода Binary Authorization for Borg, разработанном самой Google и направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения. Компания использует BAB более восьми лет, на сегодня этот процесс обязателен для любого производственного процесса. SLSA предусматривает защиту от восьми видов атак, связанных с внедрением вредоносных изменений на стадиях написания кода, сборки, тестирования и распространения ПО, среди которых включение бэкдоров в исходный код, сборка кода, не соответствующего исходному, атака на сборочную платформу и другие. SLSA предусматривает четыре уровня защиты с соответствующими каждому требованиями к инфраструктуре. Чем выше уровень SLSA, тем надежнее защита от атак. Самый высокий, SLSA 4, предусматривает проверку всех изменений двумя разработчиками.Атаки с компрометацией процесса разработки в последнее время участились, отмечает Google. Согласно данным компании Sonatype, количество атак на проекты с открытым исходным кодом увеличилось на 430% в течение 2020 года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты цепочки поставок.«В своем текущем состоянии SLSA представляет собой набор постепенно адаптируемых правил безопасности, — указано в блоге компании. В Google отмечают, что в своем окончательном виде фреймворк будет «поддерживать автоматическое создание проверяемых метаданных». Внедрение SLSA может быть как поэтапным, так и единовременным. На четвертом уровне, обещают в компании, у потребителей будет уверенность в том, что код не был подделан и что его можно надежно отследить до его источника.
===========
Источник:
habr.com
===========
Похожие новости:
- [Поисковые технологии, Контекстная реклама, Законодательство в IT, IT-компании] Евросоюз открыл ещё одно антимонопольное расследование деятельности Google
- [Информационная безопасность, Смартфоны, IT-компании] Google автоматически устанавливала на смартфоны жителей Массачусетса приложение для уведомлений о коронавирусе
- [Информационная безопасность, Умный дом] Кибербезопасность? Да, теперь и ваша машина в зоне риска (перевод)
- [Информационная безопасность, Платежные системы, Финансы в IT] EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 1
- [Работа с видео, Amazon Web Services, DevOps, Google Cloud Platform] Облачная WebRTC CDN: сколько стоит, где разместить?
- [Работа с видео, Amazon Web Services, DevOps, Google Cloud Platform] Cloud services for WebRTC CDN: How much does it cost? Where to place it?
- [Информационная безопасность, Разработка систем связи, Сетевое оборудование, Квантовые технологии] Дмитрий Песков: у России есть новейшие технологические разработки, но их нельзя внедрять с текущим уровнем киберзащиты
- [Информационная безопасность] Security Week 25: уязвимость в Apple ID
- [Информационная безопасность, Клиентская оптимизация, IT-инфраструктура, Сетевые технологии, Удалённая работа] USB over IP: удалённое администрирование
- [Информационная безопасность, Биллинговые системы, Законодательство в IT] Операторам связи запретили раскрывать сведения о клиентах
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_google, #_slsa, #_supply_chain, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Май 17:19
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
 SLSA предусматривает защиту от восьми видов атакКомпания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), предназначенный для защиты от supply chain-атак — попыток внедрения вредоносного кода в процессе разработки ПО.SLSA основан на процессе проверки кода Binary Authorization for Borg, разработанном самой Google и направленном на снижение инсайдерского риска за счет проверки и авторизации производственного программного обеспечения. Компания использует BAB более восьми лет, на сегодня этот процесс обязателен для любого производственного процесса. SLSA предусматривает защиту от восьми видов атак, связанных с внедрением вредоносных изменений на стадиях написания кода, сборки, тестирования и распространения ПО, среди которых включение бэкдоров в исходный код, сборка кода, не соответствующего исходному, атака на сборочную платформу и другие. SLSA предусматривает четыре уровня защиты с соответствующими каждому требованиями к инфраструктуре. Чем выше уровень SLSA, тем надежнее защита от атак. Самый высокий, SLSA 4, предусматривает проверку всех изменений двумя разработчиками.Атаки с компрометацией процесса разработки в последнее время участились, отмечает Google. Согласно данным компании Sonatype, количество атак на проекты с открытым исходным кодом увеличилось на 430% в течение 2020 года. После атак на SolarWinds и Codecov Google указывает на необходимость создания инфраструктуры для защиты цепочки поставок.«В своем текущем состоянии SLSA представляет собой набор постепенно адаптируемых правил безопасности, — указано в блоге компании. В Google отмечают, что в своем окончательном виде фреймворк будет «поддерживать автоматическое создание проверяемых метаданных». Внедрение SLSA может быть как поэтапным, так и единовременным. На четвертом уровне, обещают в компании, у потребителей будет уверенность в том, что код не был подделан и что его можно надежно отследить до его источника. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Май 17:19
Часовой пояс: UTC + 5