ProHoster > Blog > naidheachdan eadar-lìn > Mhol Google SLSA gus dìon an aghaidh atharrachaidhean droch-rùnach rè leasachadh

Mhol Google SLSA gus dìon an aghaidh atharrachaidhean droch-rùnach rè leasachadh

Thug Google a-steach frèam SLSA (Ìre sèine solair airson stuthan bathar-bog), a tha a’ toirt geàrr-chunntas air an eòlas a th’ ann mu thràth ann a bhith a’ dìon bun-structair leasachaidh bho ionnsaighean a chaidh a dhèanamh aig ìre sgrìobhaidh còd, deuchainn, cruinneachadh agus sgaoileadh toradh.

Tha pròiseasan leasachaidh a’ sìor fhàs iom-fhillte agus an urra ri innealan treas-phàrtaidh, a tha a’ cruthachadh shuidheachaidhean fàbharach airson a bhith a’ toirt air adhart ionnsaighean co-cheangailte gun a bhith a’ comharrachadh agus a’ gabhail brath air so-leòntachd san toradh deireannach, ach a’ toirt buaidh air a’ phròiseas leasachaidh fhèin (ionnsaighean slabhraidh solair, mar as trice ag amas air toirt a-steach atharrachaidhean droch-rùnach anns a’ phròiseas sgrìobhaidh còd, cuir an àite phàirtean sgaoilte agus eisimeileachd).

Tha am frèam a’ toirt aire do sheòrsan ionnsaighean 8 co-cheangailte ris a’ chunnart bho bhith a’ dèanamh atharrachaidhean droch-rùnach aig ìre leasachadh còd, co-chruinneachadh, deuchainn agus cuairteachadh an toraidh.

Mhol Google SLSA gus dìon an aghaidh atharrachaidhean droch-rùnach rè leasachadh

  • A. A’ toirt a-steach atharrachaidhean anns a’ chòd stòr anns a bheil dorsan air ais no mearachdan falaichte a dh’ adhbhraicheas so-leòntachd.

    Eisimpleir de ionnsaigh: “Hypocrite Commits” - oidhirp gus pìosan le so-leòntachd a bhrosnachadh a-steach don kernel Linux.

    Modh tèarainteachd a thathar a’ moladh: lèirmheas neo-eisimeileach air gach atharrachadh le dithis leasaiche.

  • B. Co-rèiteachadh an àrd-ùrlar smachd còd stòr.

    Eisimpleir de ionnsaigh: bidh in-stealladh de dhroch-rùnach a ’gealltainn le doras cùil a-steach don stòr Git de phròiseact PHP às deidh faclan-faire leasaiche a bhith air an leigeil ma sgaoil.

    Modh dìon a thathar a’ moladh: Barrachd tèarainteachd an àrd-ùrlar riaghlaidh còd (a thaobh PHP, chaidh an ionnsaigh a dhèanamh tro eadar-aghaidh HTTPS nach robh air a chleachdadh ach beagan, a leig le atharrachaidhean a chuir nuair a logas tu a-steach a’ cleachdadh facal-faire gun a bhith a’ sgrùdadh an iuchair SSH, a dh’ aindeoin an fhìrinn gun deach MD5 neo-earbsach a chleachdadh gus faclan-faire hash).

  • C. A 'dèanamh atharrachaidhean aig an ìre de bhith a' gluasad còd chun an t-siostam togail no amalachaidh leantainneach (tha còd nach eil a 'freagairt ris a' chòd bhon stòr air a thogail).

    Пример атаки: внедрение бэкдора в Webmin путем внесения изменений в сборочную инфраструктуру, приведших к использованию файлов с кодом, отличающихся от файлов в репозитории.

    Modh dìon a thathar a 'moladh: A' sgrùdadh ionracas agus a 'comharrachadh stòr a' chòd air an t-seirbheisiche co-chruinneachaidh.

  • D. Co-rèiteachadh an àrd-ùrlar cruinneachaidh.

    Eisimpleir de ionnsaigh: ionnsaigh SolarWinds, nuair a chaidh dèanamh cinnteach gun deach doras cùil a chuir a-steach do thoradh SolarWinds Orion aig ìre cruinneachaidh.

    Modh dìon a thathar a’ moladh: buileachadh ceumannan tèarainteachd adhartach airson an àrd-ùrlar cruinneachaidh.

  • E. Brosnachadh còd droch-rùnach tro eisimeileachd càileachd ìosal.

    Eisimpleir de ionnsaigh: toirt a-steach doras cùil a-steach don leabharlann sruth-thachartasan mòr-chòrdte le bhith a’ cur eisimeileachd gun chron ris agus an uairsin a’ toirt a-steach còd droch-rùnach ann an aon de na h-ùrachaidhean air an eisimeileachd seo (cha robh an t-atharrachadh droch-rùnach ri fhaicinn anns an stòr git, ach bha e an làthair a-mhàin sa phasgan MNP crìochnaichte).

    Modh dìon a thathar a’ moladh: cuir a-steach riatanasan SLSA gu cunbhalach ris a h-uile eisimeileachd (a thaobh sruth tachartais, bhiodh an t-seic a’ nochdadh co-chruinneachadh còd nach eil a’ freagairt ri susbaint prìomh stòr Git).

  • F. A' luchdachadh suas stuthan nach deach a chruthachadh san t-siostam CI/CD.

    Eisimpleir de ionnsaigh: a ’cur còd droch-rùnach ris an sgriobt CodeCov, a leig le luchd-ionnsaigh fiosrachadh a chaidh a stòradh ann an àrainneachdan siostam amalachaidh leantainneach teachdaiche a tharraing.

    Modh dìon a thathar a’ moladh: smachd air stòr agus ionracas stuthan (a thaobh CodeCov, dh’ fhaodadh e nochdadh nach eil an sgriobt Bash Uploader a chaidh a chuir bho làrach-lìn codecov.io a ’freagairt ris a’ chòd bho stòr a ’phròiseict).

  • G. Co-rèiteachadh an stòr pacaid.

    Eisimpleir de ionnsaigh: B’ urrainn do luchd-rannsachaidh sgàthanan cuid de stòran pacaid a bha mòr-chòrdte a chleachdadh gus pasganan droch-rùnach a sgaoileadh troimhe.

    Modh dìon a thathar a’ moladh: Dearbhadh gu bheil na stuthan sgaoilte air an cur ri chèile bho na còdan stòr ainmichte.

  • H. A 'cur dragh air a' chleachdaiche gus am pasgan ceàrr a stàladh.

    Eisimpleir de ionnsaigh: cleachdadh typosquatting (NPM, RubyGems, PyPI) gus pasganan a chuir ann an stòran a tha coltach ri sgrìobhadh gu tagraidhean mòr-chòrdte (mar eisimpleir, sgriobt cofaidh an àite sgriobt cofaidh).

Gus casg a chuir air bagairtean comharraichte, tha SLSA a’ tabhann seata de mholaidhean, a bharrachd air innealan gus cruthachadh meata-dàta sgrùdaidh a dhèanamh fèin-ghluasadach. Tha SLSA a’ toirt geàrr-chunntas air dòighean ionnsaigh cumanta agus a’ toirt a-steach bun-bheachd sreathan tèarainteachd. Bidh gach ìre a’ cur riatanasan bun-structair sònraichte an sàs gus dèanamh cinnteach à ionracas stuthan a thathar a’ cleachdadh ann an leasachadh. Mar as àirde an ìre SLSA le taic, is ann as motha de dhìonan a thèid an cur an gnìomh agus is ann as fheàrr a bhios am bun-structar air a dhìon bho ionnsaighean cumanta.

  • SLSA 1 — требует, чтобы сборочный процесс был полностью автоматизирован и генерировал метаданные («provenance») о том, как артефакты собраны, включая сведения об исходных текстах, зависимостях и процессе сборки (для GitHub Actions предложен пример генератора метаданных для аудита). SLSA 1 не включает элементы защиты от внесения вредоносных изменений, а лишь простейшим образом идентифицирует код и предоставляет метаданные для управления уязвимостями и анализа рисков.
  • SLSA 2 - a’ leudachadh a’ chiad ìre le bhith ag iarraidh siostam smachd dreach a chleachdadh agus seirbheisean a thogail a ghineas meata-dàta dearbhte. Leigidh cleachdadh SLSA 2 dhut tùs a’ chòd a lorg agus casg a chuir air atharrachaidhean gun chead air a’ chòd a thaobh seirbheisean togail earbsach.
  • SLSA 3 - a’ dearbhadh gu bheil an còd stòr agus an àrd-ùrlar togail a’ coinneachadh ri riatanasan inbhean a tha a’ gealltainn comas sgrùdadh a dhèanamh air a’ chòd agus dèanamh cinnteach à ionracas a’ mheata-dàta a chaidh a thoirt seachad. Thathas a’ gabhail ris gum faod luchd-sgrùdaidh àrd-ùrlaran a dhearbhadh a rèir riatanasan nan inbhean.
  • Is e SLSA 4 an ìre as àirde, a’ cur ris na h-ìrean roimhe leis na riatanasan a leanas:
    • Lèirmheas èigneachail air a h-uile atharrachadh le dà leasaiche eadar-dhealaichte.
    • Feumar a h-uile ceum togail, còd agus eisimeileachd fhoillseachadh gu h-iomlan, feumar a h-uile eisimeileachd a thoirt a-mach agus a dhearbhadh air leth, agus feumar am pròiseas togail a dhèanamh far-loidhne.
    • Le bhith a’ cleachdadh pròiseas togail a ghabhas ath-aithris leigidh sin leat am pròiseas togail ath-aithris thu fhèin agus dèanamh cinnteach gu bheil an gnìomh air a thogail bhon chòd stòr a chaidh a thoirt seachad.

    Mhol Google SLSA gus dìon an aghaidh atharrachaidhean droch-rùnach rè leasachadh


    Source: fosgailtenet.ru

Cuir beachd ann