Untuk mengatasi ancaman serangan yang berkembang pada rantai pasokan perangkat lunak, Google telah mengusulkan kerangka kerja Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak, atau SLSA yang diucapkan “salsa”.
Penyerang yang canggih telah mengetahui bahwa rantai pasokan perangkat lunak adalah bagian bawah dari industri perangkat lunak. Di luar peretasan SolarWinds yang mengubah permainan, Google menunjuk ke serangan rantai pasokan Codecov baru-baru ini, yang berdampak pada perusahaan keamanan siber Rapid7 melalui pengunggah Bash yang tercemar.
Meskipun serangan rantai pasokan bukanlah hal baru, Google mencatat bahwa serangan tersebut telah meningkat pada tahun lalu, dan telah mengalihkan fokus dari eksploitasi untuk kerentanan perangkat lunak yang diketahui atau zero-day.
Google menggambarkan SLSA sebagai “kerangka kerja ujung ke ujung untuk memastikan integritas artefak perangkat lunak di seluruh rantai pasokan perangkat lunak”.
Ini memimpin dari “Binary Authorization for Borg” (BAB) internal Google – sebuah proses yang telah digunakan Google selama lebih dari delapan tahun untuk memverifikasi asal kode dan menerapkan identitas kode.
Tujuan BAB adalah untuk mengurangi risiko orang dalam dengan memastikan bahwa perangkat lunak produksi yang digunakan di Google ditinjau dengan benar, terutama jika kode tersebut memiliki akses data pengguna.
Sementara kerangka kerja SLSA hanyalah seperangkat pedoman untuk saat ini, Google membayangkan bahwa bentuk akhirnya akan melampaui praktik terbaik melalui penegakan.
Selengkapnya: ZDNet
