ADPT

Google เปิดโอเพ่นซอร์สเครื่องสำหรับตรวจสอบ integrity ให้ Supply chain

Supply Chain attack นั้นมีความรุนแรงปรากฏชัดมากขึ้นในระยะเวลาไม่กี่เดือนที่ผ่านมา ซึ่งล่าสุด Google ก็ได้ออก Framework ที่ชื่อ ‘SLSA’ 

SLSA คือชื่อย่อของ ‘Supply chain Levels for Software Artifacts’ ซึ่ง Google ได้แรงบันดาลใจมากจากเครื่องมือที่ใช้กันภายในองค์กรมากว่า 8 ปีที่ชื่อ ‘Binary Authorization for Borg’ ที่ใช้สำหรับตรวจสอบที่มาของซอฟต์แวร์และสิทธิ์การเข้าถึงข้อมูล

อย่างไรก็ดี SLSA ทางทีมงานตั้งเป้าว่าในระยะยาวจะพัฒนาให้ไปสู่ความเป็นอัตโนมัติที่นำไปใช้ในซอฟต์แวร์ได้โดยง่าย รวมถึงสามารถออกเป็น SLSA Certification ให้แพ็กเกจหรือ Build Platform นอกจากนี้ยังมีการแบ่งระดับของ Framework ไว้เป็น 4 ระดับ โดยสามารถดูภาพประกอบได้ตามตารางด้านล่าง

credit : Zdnet

ผู้สนใจศึกษาเพิ่มเติมได้ที่ https://github.com/slsa-framework/slsa

ที่มา : https://www.zdnet.com/article/open-source-security-google-has-a-new-plan-to-stop-software-supply-chain-attacks และ https://www.securityweek.com/google-intros-slsa-framework-enforce-supply-chain-integrity


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

FBI เผยช่องโหว่ยอดฮิตในรอบ 2 ปีหลังสุด

หน่วยงานด้านความมั่นคงปลอดภัยจากทั้งสหรัฐฯ สหราชอาณาจักร และออสเตรเลียได้ร่วมกันรวบรวมข้อมูลเพื่อจัดทำ Advisory ของช่องโหว่ยอดนิยมที่มักถูกใช้ใน 2 ปีหลังสุด พร้อมคำแนะนำ และวิธีการแก้ไข

IBM เผยความเสียหายจากเหตุการณ์ Data Breach แต่ละครั้งเฉลี่ยสูงขึ้นกว่าปีก่อนถึง 10%

IBM ได้ร่วมกับ Ponemon Institute จัดทำรายงานเรื่อง Data Breach ที่เกิดขึ้น โดยพบว่ามูลค่าความเสียหายของปีล่าสุดเพิ่มขึ้นกว่า 10% และสัมพันธ์กับเรื่องวิธีการทำงานที่เปลี่ยนไปจากโรคระบาด