谷歌发布新框架防止软件供应链攻击

随着SolarWinds和Codecov安全事件之后，软件供应链攻击成为一个关注点，谷歌提出了一个解决方案，以确保软件包的完整性，并防止未经授权的修改

（SLSA，发音为“salsa”），端到端框架旨在确保软件开发和部署管道的安全—；i、 e.来源➞；建造➞；发布工作流程—；并减轻因在链中的每个环节篡改源代码、构建平台和工件存储库而产生的威胁

“在目前的状态下，SLSA是一套逐步采用的安全指南，由业界共识制定，”谷歌开源安全团队的Kim Lewandowski和Borg二进制授权团队的Mark Lodato说

SLSA框架承诺端到端软件供应链的完整性，并设计为增量和可操作的。它包括四个不同级别的渐进式软件安全复杂性，SLSA 4提供了软件未被不当修补的高度信心

SLSA 1和#8212；要求构建过程完全脚本化/自动化，并生成出处

• SLSA 2和#8212；需要使用版本控制和生成经过验证的来源的托管生成服务###########SLSA 3#######和#8212；要求源代码和构建平台符合特定标准，以保证源代码的可审计性和源代码的完整性
• SLSA 4和#8212；需要两人对所有变更进行审查，并采用密封、可复制的构建过程
“更高的SLSA级别需要对构建平台进行更强的安全控制，这使得妥协和获得持久性更加困难，”Lewandowski和Lodato指出
•  
• 虽然SLA 4代表了理想的最终状态，但较低的级别提供了增量完整性保证，同时使恶意参与者很难长时间隐藏在被破坏的开发人员环境中。

除了发布公告，谷歌还分享了关于需要满足的源代码和构建要求的更多细节，并呼吁业界对系统进行标准化，并定义一个威胁模型，详细说明SLSA希望长期解决的具体威胁

“对于大多数项目来说，实现最高级别的SLSA可能很困难，但较低级别的SLSA所认可的增量改进将大大有助于提高开源生态系统的安全性，”该公司说。