「供应链」Google与GitHub结盟,为保护软件供应链而战!
认证:数码产品优质原创作者
本文有879个文字,大小约为4KB,预计阅读时间3分钟
精选评测好文
原文标题:Google与GitHub结盟,为保护软件供应链而战!
整理 | 章雨铭 责编 | 屠敏
出品 | CSDN(ID:CSDNnews)
4 月 7 日,据谷歌透露,它一直在跟 GitHub 合作,创建一种防伪方法,用于签署源代码,解决像影响 SolarWinds 和 Codecov 等软件供应链攻击。
谷歌开源软件供应链安全技术负责人 Bob Callaway 表示,这种方法的原型使用 Go 编程语言编写,它使用 GitHub Actions 工作流程生成不可伪造的来源,用于隔离和代码签名工具,以确保 Sigstore(是一个免费使用的非盈利软件签名服务,旨在通过简化透明日志技术支持的加密软件签名的采用,提供公共公益 / 非营利服务,以改善开源软件供应链。)提供的真实性。比如帮助构建于 GitHub runners 上的项目实现较高的 SLSA 级别,确保客户的工件是可信且真实的。SLSA(软件工件的供应链级别)框架旨在通过赋能用户将软件最终版本追溯到源代码的方式,改进项目的完整性。而这一新方法的目标是实现 SLSA 第 3 级别(共 4 个级别)。
Callaway 表示,谷歌还将致力于将安全功能嵌入 DevOps 平台,以确保软件供应链的完整性,此外还会告知开发人员构建更安全的软件的方法。
牵一发而动全身
过去两年,软件供应链攻击事件(对软件包进行未经授权的修改)时有发生,并且呈上升趋势。这种攻击能够影响所有用户,效果明显。软件开发和供应链部署都是相当复杂的,从源代码到构建再到发布,整个工作流程中会存在众多威胁。
比如 2020 年底美国发生的 " 太阳风暴 " 攻击。SolarWinds 是一家总部位于美国的 IT 公司,专门为企业和政府机构开发管理软件。黑客利用 SolarWinds 的网管软件漏洞,攻陷了多个美国联邦机构及 500 强企业网络。包括美国国务院、五角大楼、国土安全局等政府部门也遭到入侵。
SolarWinds 事件的影响范围非常广,波及全球多个国家和地区的18000 多个用户,而且潜伏期长、隐蔽性强,被认为时 "史上最严重" 的供应链攻击。
另外一起 2021 年 4 月发生的供应链攻击事件,复杂性堪比 SolarWinds 供应链攻击。软件审计公司 Codecov 的产品代码受到供应链攻击,导致数百个客户的网络遭到非法访问。Codecov 的客户规模高达 2.9 万,其中包括许多大型科技品牌,例如 IBM、Google、GoDaddy 和 HP,以及《华盛顿邮报》和知名消费品公司(宝洁)等等。
在保护供应链方面进展甚微
这些重大事件体现出软件供应链存在的问题和隐患,软件供应链攻击难发现、难溯源、难清除,而攻击的成本很低,效率又高。所以努力预防软件供应链攻击事件的发生以及事后积极补救都是很有必要的。
市场研究公司 Vanson Bourne 进行了一项调查(访问了 1750 名 IT 安全决策者),在其 4 月发布的调查结果中显示,尽管发生了一系列备受瞩目的网络安全漏洞,但近三分之二(62%)的受访者没有采取任何措施来保护他们的软件供应链。整整 64% 的人承认无法阻止对其软件开发环境的攻击。这表明,在保护软件供应链方面进展甚微,在这方面还需要做出更多的努力。
而这次谷歌和 GitHub 的联手,能够为软件供应链安全带来什么进展呢?对此谷歌表示:" 不断提升的防篡改 ( SLSA 3+ 级别 ) build 服务采用率将保证更强劲的开源生态系统,并有助于缩短当前供应链中易被利用的差距。"
其他人还看了
「高通」高通向安卓AOSP捐赠aptX与aptXHD编解码器源代码
「pixel」谷歌Pixel7Pro又出问题,用户吐槽屏幕滑动不畅
「供应商」iPhone滞销帮帮库克,苹果叫停iPhone14Plus的排产
郑重声明:本文“「供应链」Google与GitHub结盟,为保护软件供应链而战!”,https://nmgjrty.com/shumacp_426738.html内容,由CSDN提供发布,请自行判断内容优劣。
- 全部评论(0)
- 三星GalaxyS22降至3399元,马上冲?还是再等一等?
- 目前3款最值得入手的iPhone,不花冤枉钱,性能强劲
- 上市超2年的华为P40,还能继续用多久?
- MAX+120Hz电竞屏,12+256GB仅售1899元
- 数码好物新一波来袭!
- 进化的巅峰之作,远超竞争对手
- H2与X-H2s没有8K/60p选项,官方作出回应
- iPhone8更换电池指南
- 华为Nova9SE
- “舍不得利润套不住用户”,骁龙870跌至1499元!
- 富士XT4实用的数码配件好物分享,实用主义向
- 双11必看/不同预算iPhone应该怎么选/超详细信息/价格预测/机型对比/购买建议/销
- 华为PocketS及全场景新品发布会
- 单反相机中的佼佼者,索尼
- 华为Mate50E同款芯片,售价仅1259元,5000mAh+5G全网通
- 尼康/NikonDf开箱
最新更新
- 三星GalaxyS22降至3399元,马上冲?还是再等
- 目前3款最值得入手的iPhone,不花冤枉钱,
- 上市超2年的华为P40,还能继续用多久?
- MAX+120Hz电竞屏,12+256GB仅售1899元
- 数码好物新一波来袭!
- 进化的巅峰之作,远超竞争对手
- H2与X-H2s没有8K/60p选项,官方作出回应
- iPhone8更换电池指南
- 华为Nova9SE
- “舍不得利润套不住用户”,骁龙870跌至
- 富士XT4实用的数码配件好物分享,实用主
- 双11必看/不同预算iPhone应该怎么选/超详细
- 华为PocketS及全场景新品发布会
- 单反相机中的佼佼者,索尼
- 华为Mate50E同款芯片,售价仅1259元,5000
推荐阅读
- 「生物」我们应该寻找什么样的外星生命,高等的还是低等的?
- 「空间望远镜」韦布空间望远镜捕捉到布满恒星的创生之柱
- 「行者」从《双城之战》到《边缘行者》,游改动画迎来盛世?
- 「国际象棋」智能肛珠作弊案反转:19岁小将告世界冠军诽谤索赔7亿
- 「英伟达」不止是游戏党,他们才是被英伟达坑怕的人。
- 「索尼」索尼官宣!猜猜A7R5多钱?R2要价1.9万、R3要价2.4万、R4要价2.7万……
- 「癌症」一种癌症转移的关键因素
- 「智能手表」面世八年后,谷歌的智能手表生态终于迎来开放曙光
- 「adobe」用VR手捏3D模型,PS直接与甲方对线,Adobe新技术确实给设计师炫到了
- 「amd」RTX40的对手来了!AMDRDNA3显卡发布会官宣
- 「奥斯汀」苹果M3准备登场,库克展示奥斯汀AppleSilicon工程团队努力成果
- 「马修」Copilot要摊官司了!工作20年老程序员重新激活律师证,发起集体诉讼,
猜你喜欢
- [iPhone]iPhone13promax远峰蓝128G入手
- [安卓手机]realme真我GTNeo2开箱,金刚石冰芯散热系统+E4屏,5000mAh大电池
- [贴膜]红米9爆屏更换记录,弯曲的中框修复
- [智能机器人]编程从娃娃抓起,MakeBlock程小奔上手体验
- [智能摄像机]内置大电池,无需打孔走线,小米室外摄像机给你满满的安全感
- [充电器]65w网红氮化镓一次看个够
- [电脑支架]原汤化原食,LGErgo显示器支架
- [蓝牙耳机]中端耳机音质天花板,降噪很有一手,鹿图COCO真蓝牙降噪耳机评测
- [音频播放器]关于R01主板的主观看法,和一些碎碎念
- [充电器]双口快充,满足日常需求
- [VR设备]GOOVISLite头戴影院评测
- [蓝牙耳机]魅蓝Blus耳机体验,魅蓝依旧还是当年坚持做良品的青年良品
- [安卓手机]从5988跌至2749,256GB+鸿蒙OS+7nm麒麟,从高端市场跌至中端市场
- 「轻众测|素诺智能可视冲牙器」别急,对准再冲!素诺可视冲牙器让残渣无所
- 「九号新品Nano及Air T15」萌娃初体验——Ninebot九号平衡车Nano