「供应链」Google与GitHub结盟，为保护软件供应链而战！

精选评测好文

原文标题：Google与GitHub结盟，为保护软件供应链而战！

整理 | 章雨铭 责编 | 屠敏

出品 | CSDN（ID：CSDNnews）

4 月 7 日，据谷歌透露，它一直在跟 GitHub 合作，创建一种防伪方法，用于签署源代码，解决像影响 SolarWinds 和 Codecov 等软件供应链攻击。

谷歌开源软件供应链安全技术负责人 Bob Callaway 表示，这种方法的原型使用 Go 编程语言编写，它使用 GitHub Actions 工作流程生成不可伪造的来源，用于隔离和代码签名工具，以确保 Sigstore（是一个免费使用的非盈利软件签名服务，旨在通过简化透明日志技术支持的加密软件签名的采用，提供公共公益 / 非营利服务，以改善开源软件供应链。）提供的真实性。比如帮助构建于 GitHub runners 上的项目实现较高的 SLSA 级别，确保客户的工件是可信且真实的。SLSA（软件工件的供应链级别）框架旨在通过赋能用户将软件最终版本追溯到源代码的方式，改进项目的完整性。而这一新方法的目标是实现 SLSA 第 3 级别（共 4 个级别）。

Callaway 表示，谷歌还将致力于将安全功能嵌入 DevOps 平台，以确保软件供应链的完整性，此外还会告知开发人员构建更安全的软件的方法。

牵一发而动全身

过去两年，软件供应链攻击事件（对软件包进行未经授权的修改）时有发生，并且呈上升趋势。这种攻击能够影响所有用户，效果明显。软件开发和供应链部署都是相当复杂的，从源代码到构建再到发布，整个工作流程中会存在众多威胁。

比如 2020 年底美国发生的 " 太阳风暴 " 攻击。SolarWinds 是一家总部位于美国的 IT 公司，专门为企业和政府机构开发管理软件。黑客利用 SolarWinds 的网管软件漏洞，攻陷了多个美国联邦机构及 500 强企业网络。包括美国国务院、五角大楼、国土安全局等政府部门也遭到入侵。

SolarWinds 事件的影响范围非常广，波及全球多个国家和地区的18000 多个用户，而且潜伏期长、隐蔽性强，被认为时 "史上最严重" 的供应链攻击。

另外一起 2021 年 4 月发生的供应链攻击事件，复杂性堪比 SolarWinds 供应链攻击。软件审计公司 Codecov 的产品代码受到供应链攻击，导致数百个客户的网络遭到非法访问。Codecov 的客户规模高达 2.9 万，其中包括许多大型科技品牌，例如 IBM、Google、GoDaddy 和 HP，以及《华盛顿邮报》和知名消费品公司（宝洁）等等。

在保护供应链方面进展甚微

这些重大事件体现出软件供应链存在的问题和隐患，软件供应链攻击难发现、难溯源、难清除，而攻击的成本很低，效率又高。所以努力预防软件供应链攻击事件的发生以及事后积极补救都是很有必要的。

市场研究公司 Vanson Bourne 进行了一项调查（访问了 1750 名 IT 安全决策者），在其 4 月发布的调查结果中显示，尽管发生了一系列备受瞩目的网络安全漏洞，但近三分之二（62%）的受访者没有采取任何措施来保护他们的软件供应链。整整 64% 的人承认无法阻止对其软件开发环境的攻击。这表明，在保护软件供应链方面进展甚微，在这方面还需要做出更多的努力。

而这次谷歌和 GitHub 的联手，能够为软件供应链安全带来什么进展呢？对此谷歌表示：" 不断提升的防篡改 ( SLSA 3+ 级别 ) build 服务采用率将保证更强劲的开源生态系统，并有助于缩短当前供应链中易被利用的差距。"

热门阅读：VJL75C空气消毒机加湿空气净化器<\a>

「智能手表」面世八年后，谷歌的智能手表生态终于迎来开放曙光

「高通」高通向安卓AOSP捐赠aptX与aptXHD编解码器源代码

「pixel」谷歌Pixel7Pro又出问题，用户吐槽屏幕滑动不畅

面世八年后，谷歌的智能手表生态终于迎来开放曙光

「供应商」iPhone滞销帮帮库克，苹果叫停iPhone14Plus的排产

哎呦不错哦，赞！(228)

打赏 打赏给作者

郑重声明：本文“「供应链」Google与GitHub结盟，为保护软件供应链而战！”，https://nmgjrty.com/shumacp_426738.html内容，由CSDN提供发布，请自行判断内容优劣。

上一篇：「type-c」人人都“恨”，但越出越多，Type-C耳机为啥慢慢普及？

下一篇：「罗永浩」罗永浩：因为要烧投资人的钱，所以没有勇气再做手机了