Nyt Google-projekt vil sikre mod supply chain-angreb via kodebiblioteker

Illustration: Ingeniøren
Frameworket Supply chain Levels for Software Artifacts skal løse problemer med farlige programbiblioteker.

Pakkebiblioteker og tilhørende værktøjer findes til de fleste moderne programmeringssprog: NPM til Javascript, Maven-repositories til Java, Pypi til Python, og så videre.

Men der er sjældent sikkerhedsmæssige garantier forbundet med pakkerne. Hvis produktet er open source, kan udvikleren eller virksomheden gennemgå kildekoden, men det er ofte ikke en praktisk mulighed, på grund af bibliotekernes størrelse.

Hvis biblioteket findes i binær form, er der tillige sjældent garanti for, at det binære produkt rent faktisk stammer fra kildekoden.

White hat-angreb på Apple, Paypal og flere har vist, at kodebiblioteker er en reel fare, og udgjorde også en del af det omfattende Solarwinds-angreb.

Læs også: White hat angreb Apple og Paypal: Derfor er kodebiblioteker en reel fare

Nu vil Google gøre noget ved problemet. Firmaet har lagt et forslag på bordet med navnet Supply chain Levels for Software Artifacts (SLSA).

Det er et end-to-end framework, som bygger på et internt Google-produkt, der ifølge udviklerne har været i drift i virksomheden i otte år.

SLSA er et sæt af retningslinjer for sikkerhed, der kan anvendes trinvist, og som er fastsat ud fra praksis i branchen, skriver Googles udviklere i et blogindlæg.

I sin endelige form vil SLSA dog være mere end bare en liste over 'best practice'.

Frameworket vil understøtte automatisk generering af metadata, der kan kontrolleres maskinelt og byde på en slags certificering til en given softwarepakke eller build-platform.

Der er mere information om frameworket på projektets hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere