CDIC 2023

Google เปิดโอเพ่นซอร์สเครื่องสำหรับตรวจสอบ integrity ให้ Supply chain

Supply Chain attack นั้นมีความรุนแรงปรากฏชัดมากขึ้นในระยะเวลาไม่กี่เดือนที่ผ่านมา ซึ่งล่าสุด Google ก็ได้ออก Framework ที่ชื่อ ‘SLSA’ 

SLSA คือชื่อย่อของ ‘Supply chain Levels for Software Artifacts’ ซึ่ง Google ได้แรงบันดาลใจมากจากเครื่องมือที่ใช้กันภายในองค์กรมากว่า 8 ปีที่ชื่อ ‘Binary Authorization for Borg’ ที่ใช้สำหรับตรวจสอบที่มาของซอฟต์แวร์และสิทธิ์การเข้าถึงข้อมูล

อย่างไรก็ดี SLSA ทางทีมงานตั้งเป้าว่าในระยะยาวจะพัฒนาให้ไปสู่ความเป็นอัตโนมัติที่นำไปใช้ในซอฟต์แวร์ได้โดยง่าย รวมถึงสามารถออกเป็น SLSA Certification ให้แพ็กเกจหรือ Build Platform นอกจากนี้ยังมีการแบ่งระดับของ Framework ไว้เป็น 4 ระดับ โดยสามารถดูภาพประกอบได้ตามตารางด้านล่าง

credit : Zdnet

ผู้สนใจศึกษาเพิ่มเติมได้ที่ https://github.com/slsa-framework/slsa

ที่มา : https://www.zdnet.com/article/open-source-security-google-has-a-new-plan-to-stop-software-supply-chain-attacks และ https://www.securityweek.com/google-intros-slsa-framework-enforce-supply-chain-integrity


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Linux Foundation เปิดตัว Unified Acceleration Foundation

Linux Foundation เปิดตัว Unified Acceleration Foundation สร้างมาตรฐานกลางสำหรับ Accelerator Programming

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก [Guest Post]

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก รับมือการขโมยข้อมูลระดับสูง แฮ็กเกอร์มักใช้การโจมตีทางวิศวกรรมสังคมเพื่อเข้าถึงข้อมูลประจำตัวขององค์กรและเจาะระบบเครือข่ายขนาดใหญ่ เมื่อโจมตีเข้าสู่เครือข่ายองค์กร แฮ็กเกอร์มักจะใช้ข้อมูลประจำตัวการเข้าสู่ระบบของพนักงานที่ถูกขโมยเพื่อเข้าถึง VPN และระบบเครือข่าย