Googles "Salsa" soll Supply-Chain-Attacken verhindern

22. Juni 2021, 13:32
  • security
  • cyberangriff
  • google
  • vendor
  • developer
image

Mit einem neuen Framework will Google die "Security-Messlatte in der ganzen Softwarebranche höher hängen".

Google will mit einem neuen Framework das Risiko von Supply-Chain-Angriffen, wie im Fall von Solarwinds oder Codecov, minieren. In einem Blogeintrag stellte das Unternehmen das "Supply Chain Levels for Software Artifacts" (SLSA, ausgesprochen "Salsa") genannte Framework vor.
Es ziele darauf ab, die Sicherheit der Software-Pipeline zu verbessern – und zwar über den gesamten Workflow von der Softwareentwicklung über die Erstellung hin zur Veröffentlichung von Builds, schreibt Google im Blogeintrag.
Es gebe zwar punktuelle Lösungen für einige spezifische Schwachstellen. Aber es gebe kein umfassendes End-to-End-Framework, das definiere, wie Bedrohungen über die gesamte Software-Lieferkette hinweg abgemildert werden können. Das Ziel von SLSA sei, die Softwarebranche insgesamt zu stärken, insbesondere im Open-Source-Umfeld. Gleichzeitig erlaube es Anwendern, die Sicherheit einer Software fundiert zu beurteilen, führt Google aus. 
image
Die Angriffsflächen im Prozess der Software-Entwicklung und -Bereitstellung. Quelle: Google
SLSA sei inspiriert von Googles eigenem Mechanismus namens Binary Authorization for Borg. Dabei handelt es sich um einen Satz von Auditing-Tools, die im Unternehmen zum Einsatz kommen und sicherstellen sollen, dass die eingesetzte Software ordentlich überprüft und autorisiert wurde.

SLSA soll sich durch einen Branchen-Konsens etablieren

In seinem jetzigen Zustand sei SLSA ein Satz von Security-Richtlinien, die schrittweise umgesetzt werden könnten. Die Hoffnung ist, dass sich das Framework durch einen Branchen-Konsens etabliert, wie aus dem Blogeintrag weiter hervorgeht.
In seiner endgültigen Form solle sich SLSA von einer Liste von Best Practices unterscheiden: Das Framework "wird die automatische Erstellung von auditierbaren Metadaten unterstützen, die in Policy Engines eingespeist werden können, um einem bestimmten Paket oder einer Build-Plattform eine 'SLSA-Zertifizierung' zu geben", führt Google aus.

4 definierte Stufen

SLSA besteht aus 4 Stufen, wobei "SLSA 4" den idealen Endzustand darstelle. Für jede Stufe gibt es bestimmte Anforderungen, die teilweise aufeinander aufbauen.
Dabei geht es beispielsweise um die Überprüfbarkeit der Code-Herkunft ("Code Provenance"), gewisse Meta-Daten, Versionskontrollen oder die Anforderungen an den Quellcode und Build Services. Die höchste Stufe 4 erfordert unter anderem eine Überprüfung aller Änderungen durch zwei Personen und einen reproduzierbaren Build-Prozess.
Insgesamt, so Google, gebe SLSA 4 dem Verbraucher ein hohes Mass an Vertrauen, dass die Software nicht manipuliert worden sei.
Zusätzliche Informationen zu den Stufen, einschliesslich der Anforderungen an den Quellcode, hat Google in einem Github-Repository bereitgestellt.
Für SLSA 1 hat Google einen Proof of Concept publiziert. Das Unternehmen plane nun, mit populären Quellcode-, Build- und Paketierungs-Plattformen zusammenarbeiten, um die Erreichung von höheren Stufen möglichst einfach zu machen. "Unser langfristiges Ziel ist es, die Sicherheitslatte in der gesamten Branche höher zu legen, so dass standardmässig höhere SLSA-Sicherheitsstandards erwartet werden, mit minimalem Aufwand für die Softwarehersteller", schliesst Google. 

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022