提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

为了应对软件供应链上日益增长的攻击威胁，Google提出了软件构件框架（SLSA）的供应链层次，SLSA发音为“salsa”。 

老练的攻击者已经发现，软件供应链是软件行业的软肋。除了改变游戏规则的SolarWinds黑客攻击之外，谷歌还指出了最近的Codecov供应链攻击，该攻击通过一个受污染的Bash上传程序刺痛了网络安全公司Rapid7。

虽然供应链攻击并不新鲜，但谷歌指出，在过去一年中，这些攻击已经升级，并将重点从已知或零日软件漏洞的利用转移到SLSA上。

参见：网络安全策略（TechRepublic Premium）

谷歌将SLSA描述为“一个端到端的框架，用于确保整个软件供应链中的软件工件的完整性。”

它从谷歌内部的“二进制Borg授权（BAB）–Google已经用了八年多的时间来验证代码来源和实现代码身份。 

BAB的目标是通过确保对部署在Google的生产软件进行适当审查来降低内部风险，特别是如果代码可以访问用户数据， 谷歌在白皮书中写道。 

“SLSA的目标是改善行业状况，特别是开源，以抵御最紧迫的完整性威胁。有了SLSA，消费者可以对他们所使用的软件的安全态势做出明智的选择，”谷歌开源安全团队的Kim Lewandowski和BAB团队的Mark Lodato说。 

SLSA希望锁定软件构建链中的所有内容，从开发人员到源代码、构建平台和CI/CD系统、包存储库和依赖项。 

依赖性是开源软件项目的一个主要弱点。今年2月，Google提出了关键开源软件开发的新协议，要求两个独立的方进行代码审查，维护人员使用双因素身份验证。   

它认为更高的SLSA水平将有助于防止对SolarWinds软件构建系统的攻击，该系统在每次新构建过程中都会安装一个注入后门的植入物。它还认为SLSA将有助于CodeCov攻击，因为“GCS bucket中工件的出处将表明，工件不是以预期的方式从预期的源回购中生成的。”

参见：GDPR:Fines created by 40%，他们将变得更大，而SLSA框架目前只是一套指导方针，Google设想其最终形式将通过可执行性超越最佳实践。 

“它将支持自动创建可审核的元数据，这些元数据可以输入到策略引擎中，为特定的包或构建平台提供‘SLSA认证’，”Google说。 

该方案由四个级别的SLSA组成，其中四个级别是所有软件开发过程都受到保护的理想状态，如下图所示。 

以下是开发者对区块链项目的真实看法

微软在安卓和iOS安全工具中添加的内容

谷歌和苹果：移动操作系统和应用程序在聚光灯下的“双寡头”

微软的CISO:为什么我们要通过注册来永远驱逐密码

，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:36