Framework mới của Google giúp ngăn chặn tấn công chuỗi cung ứng phần mềm
SLSA là một framework đầu cuối nhằm đảm bảo quy trình triển khai và phát triển phần mềm. SLSA được xây dựng dựa trên cơ chế thực thi nội bộ của hãng gọi là “Binary Authorization for Bog”. Đây là một công cụ kiểm tra xác minh nguồn gốc mã nguồn và thực hiện nhận dạng mã để chắc chắn rằng phần mềm sản xuất đã triển khai được xem xét và phân quyền đúng cách.
4 cấp độ bảo mật khác nhau mà SLSA cung cấp gồm:
· SLSA 1: Yêu cầu quá trình tạo bản dựng phải được ghi chép đầy đủ, tự động và có xuất xứ rõ ràng.
· SLSA 2: Yêu cầu phải sử dụng việc kiểm soát phiên bản và dịch vụ bản dựng phải được lưu trữ lại để truy vết nguồn gốc xác thực.
· SLSA 3: Yêu cầu mã nguồn và nền tảng của bản build đáp ứng các tiêu chuẩn cụ thể nhằm đảm bảo điều kiện kiểm tra mã nguồn đó và tính toàn vẹn của mã nguồn.
· SLSA 4: Yêu cầu phải có đánh giá chéo đối với tất cả những thay đổi và một quy trình bản dựng khép kín, có thể tái sản xuất.
Các chuyên gia cũng cho biết cấp độ SLSA càng cao thì các biện pháp kiểm soát bảo mật càng chặt chẽ và càng khó để xâm phạm hệ thống cũng như tồn tại trong đó.
Cùng với đó, Google cũng chia sẻ thêm về các yêu cầu của mã nguồn và bản Build là cần thiết và đồng thời kêu gọi cần phải chuẩn hóa hệ thống và xác định một mô hình nguy cơ, liệt kê chi tiết các mối đe dọa mà SLSA có thể xử lý dài hạn.
M.H