Thug Google a-steach frèam SLSA (Ìre sèine solair airson stuthan bathar-bog), a tha a’ toirt geàrr-chunntas air an eòlas a th’ ann mu thràth ann a bhith a’ dìon bun-structair leasachaidh bho ionnsaighean a chaidh a dhèanamh aig ìre sgrìobhaidh còd, deuchainn, cruinneachadh agus sgaoileadh toradh.
Tha pròiseasan leasachaidh a’ sìor fhàs iom-fhillte agus an urra ri innealan treas-phàrtaidh, a tha a’ cruthachadh shuidheachaidhean fàbharach airson a bhith a’ toirt air adhart ionnsaighean co-cheangailte gun a bhith a’ comharrachadh agus a’ gabhail brath air so-leòntachd san toradh deireannach, ach a’ toirt buaidh air a’ phròiseas leasachaidh fhèin (ionnsaighean slabhraidh solair, mar as trice ag amas air toirt a-steach atharrachaidhean droch-rùnach anns a’ phròiseas sgrìobhaidh còd, cuir an àite phàirtean sgaoilte agus eisimeileachd).
Tha am frèam a’ toirt aire do sheòrsan ionnsaighean 8 co-cheangailte ris a’ chunnart bho bhith a’ dèanamh atharrachaidhean droch-rùnach aig ìre leasachadh còd, co-chruinneachadh, deuchainn agus cuairteachadh an toraidh.
- A. A’ toirt a-steach atharrachaidhean anns a’ chòd stòr anns a bheil dorsan air ais no mearachdan falaichte a dh’ adhbhraicheas so-leòntachd.
Eisimpleir de ionnsaigh: “Hypocrite Commits” - oidhirp gus pìosan le so-leòntachd a bhrosnachadh a-steach don kernel Linux.
Modh tèarainteachd a thathar a’ moladh: lèirmheas neo-eisimeileach air gach atharrachadh le dithis leasaiche.
- B. Co-rèiteachadh an àrd-ùrlar smachd còd stòr.
Eisimpleir de ionnsaigh: bidh in-stealladh de dhroch-rùnach a ’gealltainn le doras cùil a-steach don stòr Git de phròiseact PHP às deidh faclan-faire leasaiche a bhith air an leigeil ma sgaoil.
Modh dìon a thathar a’ moladh: Barrachd tèarainteachd an àrd-ùrlar riaghlaidh còd (a thaobh PHP, chaidh an ionnsaigh a dhèanamh tro eadar-aghaidh HTTPS nach robh air a chleachdadh ach beagan, a leig le atharrachaidhean a chuir nuair a logas tu a-steach a’ cleachdadh facal-faire gun a bhith a’ sgrùdadh an iuchair SSH, a dh’ aindeoin an fhìrinn gun deach MD5 neo-earbsach a chleachdadh gus faclan-faire hash).
- C. A 'dèanamh atharrachaidhean aig an ìre de bhith a' gluasad còd chun an t-siostam togail no amalachaidh leantainneach (tha còd nach eil a 'freagairt ris a' chòd bhon stòr air a thogail).
Пример атаки: внедрение бэкдора в Webmin путем внесения изменений в сборочную инфраструктуру, приведших к использованию файлов с кодом, отличающихся от файлов в репозитории.
Modh dìon a thathar a 'moladh: A' sgrùdadh ionracas agus a 'comharrachadh stòr a' chòd air an t-seirbheisiche co-chruinneachaidh.
- D. Co-rèiteachadh an àrd-ùrlar cruinneachaidh.
Eisimpleir de ionnsaigh: ionnsaigh SolarWinds, nuair a chaidh dèanamh cinnteach gun deach doras cùil a chuir a-steach do thoradh SolarWinds Orion aig ìre cruinneachaidh.
Modh dìon a thathar a’ moladh: buileachadh ceumannan tèarainteachd adhartach airson an àrd-ùrlar cruinneachaidh.
- E. Brosnachadh còd droch-rùnach tro eisimeileachd càileachd ìosal.
Eisimpleir de ionnsaigh: toirt a-steach doras cùil a-steach don leabharlann sruth-thachartasan mòr-chòrdte le bhith a’ cur eisimeileachd gun chron ris agus an uairsin a’ toirt a-steach còd droch-rùnach ann an aon de na h-ùrachaidhean air an eisimeileachd seo (cha robh an t-atharrachadh droch-rùnach ri fhaicinn anns an stòr git, ach bha e an làthair a-mhàin sa phasgan MNP crìochnaichte).
Modh dìon a thathar a’ moladh: cuir a-steach riatanasan SLSA gu cunbhalach ris a h-uile eisimeileachd (a thaobh sruth tachartais, bhiodh an t-seic a’ nochdadh co-chruinneachadh còd nach eil a’ freagairt ri susbaint prìomh stòr Git).
- F. A' luchdachadh suas stuthan nach deach a chruthachadh san t-siostam CI/CD.
Eisimpleir de ionnsaigh: a ’cur còd droch-rùnach ris an sgriobt CodeCov, a leig le luchd-ionnsaigh fiosrachadh a chaidh a stòradh ann an àrainneachdan siostam amalachaidh leantainneach teachdaiche a tharraing.
Modh dìon a thathar a’ moladh: smachd air stòr agus ionracas stuthan (a thaobh CodeCov, dh’ fhaodadh e nochdadh nach eil an sgriobt Bash Uploader a chaidh a chuir bho làrach-lìn codecov.io a ’freagairt ris a’ chòd bho stòr a ’phròiseict).
- G. Co-rèiteachadh an stòr pacaid.
Eisimpleir de ionnsaigh: B’ urrainn do luchd-rannsachaidh sgàthanan cuid de stòran pacaid a bha mòr-chòrdte a chleachdadh gus pasganan droch-rùnach a sgaoileadh troimhe.
Modh dìon a thathar a’ moladh: Dearbhadh gu bheil na stuthan sgaoilte air an cur ri chèile bho na còdan stòr ainmichte.
- H. A 'cur dragh air a' chleachdaiche gus am pasgan ceàrr a stàladh.
Eisimpleir de ionnsaigh: cleachdadh typosquatting (NPM, RubyGems, PyPI) gus pasganan a chuir ann an stòran a tha coltach ri sgrìobhadh gu tagraidhean mòr-chòrdte (mar eisimpleir, sgriobt cofaidh an àite sgriobt cofaidh).
Gus casg a chuir air bagairtean comharraichte, tha SLSA a’ tabhann seata de mholaidhean, a bharrachd air innealan gus cruthachadh meata-dàta sgrùdaidh a dhèanamh fèin-ghluasadach. Tha SLSA a’ toirt geàrr-chunntas air dòighean ionnsaigh cumanta agus a’ toirt a-steach bun-bheachd sreathan tèarainteachd. Bidh gach ìre a’ cur riatanasan bun-structair sònraichte an sàs gus dèanamh cinnteach à ionracas stuthan a thathar a’ cleachdadh ann an leasachadh. Mar as àirde an ìre SLSA le taic, is ann as motha de dhìonan a thèid an cur an gnìomh agus is ann as fheàrr a bhios am bun-structar air a dhìon bho ionnsaighean cumanta.
- SLSA 1 — требует, чтобы сборочный процесс был полностью автоматизирован и генерировал метаданные («provenance») о том, как артефакты собраны, включая сведения об исходных текстах, зависимостях и процессе сборки (для GitHub Actions предложен пример генератора метаданных для аудита). SLSA 1 не включает элементы защиты от внесения вредоносных изменений, а лишь простейшим образом идентифицирует код и предоставляет метаданные для управления уязвимостями и анализа рисков.
- SLSA 2 - a’ leudachadh a’ chiad ìre le bhith ag iarraidh siostam smachd dreach a chleachdadh agus seirbheisean a thogail a ghineas meata-dàta dearbhte. Leigidh cleachdadh SLSA 2 dhut tùs a’ chòd a lorg agus casg a chuir air atharrachaidhean gun chead air a’ chòd a thaobh seirbheisean togail earbsach.
- SLSA 3 - a’ dearbhadh gu bheil an còd stòr agus an àrd-ùrlar togail a’ coinneachadh ri riatanasan inbhean a tha a’ gealltainn comas sgrùdadh a dhèanamh air a’ chòd agus dèanamh cinnteach à ionracas a’ mheata-dàta a chaidh a thoirt seachad. Thathas a’ gabhail ris gum faod luchd-sgrùdaidh àrd-ùrlaran a dhearbhadh a rèir riatanasan nan inbhean.
- Is e SLSA 4 an ìre as àirde, a’ cur ris na h-ìrean roimhe leis na riatanasan a leanas:
- Lèirmheas èigneachail air a h-uile atharrachadh le dà leasaiche eadar-dhealaichte.
- Feumar a h-uile ceum togail, còd agus eisimeileachd fhoillseachadh gu h-iomlan, feumar a h-uile eisimeileachd a thoirt a-mach agus a dhearbhadh air leth, agus feumar am pròiseas togail a dhèanamh far-loidhne.
- Le bhith a’ cleachdadh pròiseas togail a ghabhas ath-aithris leigidh sin leat am pròiseas togail ath-aithris thu fhèin agus dèanamh cinnteach gu bheil an gnìomh air a thogail bhon chòd stòr a chaidh a thoirt seachad.
Source: fosgailtenet.ru