Google推动软件供应链安全框架SLSA

软件供应链成为网络威胁的新兴入口，Google也提出旨在确保软件供应链安全的框架，名为“软件产出物供应链层级”（Supply chain Levels for Software Artifacts framework，SLSA）。

供应链完整性攻击（非授权修改软件套件）这两年大幅增加，而且成为影响所有软件用户的共通攻击途径。Google 开源安全团队的Kim Lewandowski指出，虽然市面上已有局部性的解决方案，但是还没有完整的端到端框架可定义如何缓解软件供应链上的威胁，以及提供一定的安全保证。有鉴于近来像Solaris和Codecov如此大规模的攻击，Google认为有必要制定一个共通框架，以保护开发商及用户。

去年底SolarWinds的Orion平台被骇客借道，将Sunburst等后门程式感染到微软、FireEye及美国-单位。今年4月中旬再爆发程式码覆盖率（Code Coverage）解决方案供应商Codecov遭骇，让骇客得以存取客户的凭证、金钥和令符（token），危及Codecov服务众多客户，美国资安业者Rapid7内部所使用的某些工具程式码因此外泄。

Google提议的方法是“软件物件供应链层级”（Supply chain Levels for Software Artifacts framework，SLSA，念作salsa），它是以Google内部使用的框架，名为Binary Authorization for Borg为基础，缩写为BAB。根据Google解释BAB为部署时强制检查机制，确保Google公司工作相关软件和部署的组态都必须经过检查和授权，防止作业过程中被人窜改，尤其是可能存取用户资料的程式码，BAB也可用于稽核，对不符合要求的地方提出警告。实施8年以来，Google所有营运作业都必须套用这个框架。

Google指出，SLSA的目的是促进开源码软件的安全，也能让使用者了解他们使用的软件的安全水准。

SLSA是一组产业共识的安全指引，可渐进套用。它和best practice最大差异是在其强制性，企业可自动建立metadata，送进政策引擎，对特定套件（package）或组件（build）平台给予SLSA认证。若某个产出物（Artifact）获得最高级等级认证，消费者就可有信心这是未经窜改，且可追溯到源头的，但目前大部分软件都做不到。

SLSA包含4个等级，以第4级最高，每一级都包含前面等级的要求。第1级要求组件流程全自动化，且产生出处（provenance）。第2级要求软件版本控管，以及有代管组件服务（hosted build service）可产生经验证的出处。第3级要求来源及组件平台符合一定标准，以分别确保来源可被稽核，及出处完整性（integrity）。第4级则代表所有软件变更都需有2人审查，且组件流程是相依性完整（hermetic）且可重复的。

图片来源_Google

Google今天也开源释出PoC版SLSA 1出处产生器（provenance generator），让使用者得以建立并上传出处，附加在组件产出物，则该组件就达到SLSA 1。Google表示未来也希望和主要来源、组件及套件平台合作，以推广这个框架。更多细节可在GitHub上找到。