supply chain attacks و امنیت در Open-Source برنامه جدید گوگل برای جلوگیری از 100 ها حملات زنجیره تامین نرم افزار

Supply Chain Attacks 600x314 1 768x512@2x

آیا “سالسا” گوگل می تواند زندگی را برای مهاجمان supply chain attacks سخت تر کند؟

Google برای مقابله با تهدید فزاینده حمله به supply chain attacks به توسعه نرم افزار هایی با نام اختصاری SLSA میپردازیم. این نرم افزار ها را ما با نام سالسا خواهیم شناخت.

مهاجمان حرفه ای دریافتند که زنجیره تأمین نرم افزار یا supply chain attack زیربنای اصلی صنعت نرم افزار است. فراتر از ماجرای هکی که در شرکت SolarWinds رخ داد. گوگل به حمله اخیر زنجیره تامین Codecov اشاره کرده است که شرکت امنیتی سایبری Rapid7 را از طریق یک Bash آلوده کرده است.

اگرچه حملات زنجیره تامین یا supply chain attacks جدید نیستند، اما گوگل خاطرنشان کرده است که این موارد در سال گذشته افزایش یافته اند و تمرکز را برای سوء استفاده از آسیب پذیری های نرم افزاری شناخته شده تغییر داده است. گوگل SLSA را چارچوبی از ابتدا تا به پایان برای اطمینان از یکپارچگی تولیدات نرم افزاری در سراسر زنجیره تامین نرم افزار توصیف می کند.


download




این امر از طریق مجوز باینری برای BAB داخلی گوگل انجام می شود – روندی که Google بیش از هشت سال برای تأیید منشأ کد و پیاده سازی هویت کد از آن استفاده می کند. هدف BAB کاهش ریسک داخلی با اطمینان از بررسی صحیح نرم افزار تولید شده و استقار یافته در Google است. به ویژه اگر کد توسعه یافته به داده های شخصی کاربر دسترسی داشته باشد. گوگل در یک white paper  یادداشت می کند.

کیم لواندوفسکی از اعضاء ارشد تیم امنیتی Open source گوگل و مارک لوداتو از تیم BAB گوگل اینگونه توضیح دادند:

هدف SLSA بهبود وضعیت صنعت نرم افزار، به ویژه نرم افزار های منبع آزاد یا open source برای دفاع در برابر شدیدترین تهدیدات یکپارچگی نرم افزار و حتی supply chain attacks است. با SLSA ، مصرف کنندگان می توانند در مورد وضعیت امنیتی نرم افزاری که مصرف می کنند آگاهانه انتخاب کرده و تصمیمات خود را اتخاذ کنند.

SLSA اینطور به نظر می رسد که همه چیز را در زنجیره ساخت نرم افزار، از توسعه دهنده گرفته تا کد منبع مورد استفاده مانند صد ها کتابخانه از پیش توسعه داده شده، بستر ساخت و سیستم های CI/CD، مخزن بسته و وابستگی ها کنترل کرده و مورد آزمون قرارد دهد.

وابستگی ها یک نقطه ضعف عمده برای پروژه های نرم افزاری منبع باز یا Open source هستند. در ماه فوریه سال جاری، گوگل پروتکل های جدیدی را برای توسعه های مهم و اساسی نرم افزار منبع باز پیشنهاد کرد که نیاز به بررسی کد توسط دو طرف مستقل دارد و نگهدارندگان از احراز هویت دو عاملی برای آن استفاده می کنند. یکی از مزیت های این طرح جلوگیری از supply chain attacks خواهد بود.

به نظر می رسد که سطح بالاتر SLSA می تواند به جلوگیری از حمله به سیستم های زیرساختی تولید نرم افزار SolarWinds کمک کند که پیشتر مورد حمله supply chain attacks واقع شده بود کمک کند. برای نصب سازه ای که حمله کنندگان supply chain attacks در هنگام توسعه نسخه جدید درب پشتی تزریق می کند، SLSA مفید واقع شده است.

همچنین این استدلال وجود دارد که SLSA در جلوگیری از حمله به CodeCov کمک شایانی خواهد کرد. برای مثال در بررسی ها نشان داده که محصول نهایی تولید شده که از یک منبع دیگر برای تامین قسمتی از فرآیند خود بهره برده مطابق الگوی پیشنهادی منبع عمل ننموده است.

در حالی که تا کنون چارچوب SLSA فقط مجموعه ای از دستورالعمل ها است. کمپانی گوگل پیش بینی می کند که شکل نهایی آن فراتر از بهترین روش های جاری برای جلوگیری از حمله supply chain attack عمل خواهد کرد. گوگل همچنین اضافه کرد:

این برنامه از ایجاد خودکار متادیتای قابل کنترل پشتیبانی می کند که می تواند به موتورهایی تبدیل شود تا “گواهینامه SLSA” را به یک بسته خاص یا سیستم عامل به منظور پیاده سازی سیاست های خاص نرم افزار اعطا کند.

جدول فرآیند کاری سالسا در مقابله با supply chain attacks

supply chain attacks
admin
admin

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مطالب مرتبط

لینک کوتاه نوشته
0

سبد خرید چسبان