Google ya gabatar da tsarin SLSA (Matsayin Sake-sake don Kayan Aikin Kaya na Software), wanda ke taƙaita gogewar da ake da ita wajen kare ababen more rayuwa daga hare-haren da aka kai a matakin rubuta lambar, gwaji, haɗawa da rarraba samfur.
Hanyoyin ci gaba suna ƙara zama masu rikitarwa kuma suna dogara ga kayan aikin ɓangare na uku, wanda ke haifar da yanayi mai kyau don ci gaban hare-haren da suka danganci ba don ganowa da kuma amfani da lahani a cikin samfurin ƙarshe ba, amma don ƙaddamar da tsarin ci gaba da kanta ( hare-haren sarkar samar da kayayyaki, yawanci ana nufin su gabatar da munanan canje-canje a cikin tsarin rubuta lambar, musanya abubuwan da aka rarraba da abubuwan dogaro).
Tsarin yana la'akari da nau'ikan hare-hare 8 da suka danganci barazanar yin canje-canje mara kyau a matakin haɓaka lambar, taro, gwaji da rarraba samfurin.
- A. Ciki har da canje-canje a lambar tushe mai ɗauke da bayan gida ko kurakurai masu ɓoye waɗanda ke haifar da lahani.
Misalin hari: "Munafukai Ya Aikata" - ƙoƙari na haɓaka faci tare da lahani a cikin kwaya ta Linux.
Hanyar tsaro da aka ba da shawarar: bita mai zaman kanta na kowane canji ta masu haɓakawa biyu.
- B. Amincewa da dandamalin sarrafa lambar tushe.
Misalin kai hari: allurar aikata mugunta tare da bayan gida cikin ma'ajiyar Git na aikin PHP bayan an fitar da kalmomin shiga masu haɓakawa.
Hanyar kariya da aka ba da shawarar: Ƙara tsaro na dandalin sarrafa lambar (a cikin yanayin PHP, an kai harin ta hanyar hanyar HTTPS da ba a yi amfani da shi ba, wanda ya ba da damar a aika canje-canje lokacin shiga ta amfani da kalmar wucewa ba tare da duba maɓallin SSH ba, duk da haka. gaskiyar cewa an yi amfani da MD5 mara aminci don hash kalmomin shiga).
- C. Yin canje-canje a mataki na canja wurin lamba zuwa tsarin ginawa ko ci gaba da haɗawa (lambar da ba ta dace da lambar daga ma'ajin an gina shi ba).
Misalin hari: Shigar da bayan gida cikin Webmin ta hanyar yin canje-canje ga ginin abubuwan more rayuwa, yana haifar da amfani da fayilolin lambobi waɗanda suka bambanta da fayilolin da ke cikin ma'ajiyar.
Hanyar kariya da aka tsara: Duba mutunci da gano tushen lambar akan uwar garken taro.
- D. Amincewa da dandalin taro.
Misalin hari: harin SolarWinds, lokacin da aka tabbatar da shigar da bayan gida cikin samfurin SolarWinds Orion yayin matakin taro.
Hanyar kariya da aka tsara: aiwatar da matakan tsaro na ci gaba don dandalin taro.
- E. Haɓaka lambar ɓarna ta hanyar dogaro mai ƙarancin inganci.
Misalin harin: gabatarwar kofa ta baya cikin mashahurin ɗakin karatu na taron-rafi ta hanyar ƙara dogaro mara lahani sannan kuma haɗa lambar ɓarna a ɗaya daga cikin sabuntar wannan dogaron (ba a bayyana canjin muguwar a cikin ma'ajiyar git ba, amma ya kasance. samuwa kawai a cikin kunshin MNP da aka gama).
Hanyar kariyar da aka ba da shawarar: yi amfani da buƙatun SLSA akai-akai ga duk abin dogaro (a cikin yanayin rafi, cak ɗin zai bayyana taron lambar da bai dace da abubuwan da ke cikin babban ma'ajiyar Git ba).
- F. Loda kayan tarihi ba a ƙirƙira su a cikin tsarin CI/CD ba.
Misalin harin: ƙara lambar ɓarna zuwa rubutun CodeCov, wanda ya ba maharan damar fitar da bayanan da aka adana a ci gaba da tsarin haɗin kai na abokin ciniki.
Hanyar kariya da aka ba da shawarar: iko akan tushen da amincin kayan tarihi (a cikin yanayin CodeCov, ana iya bayyana cewa rubutun Bash Uploader da aka aika daga gidan yanar gizon codecov.io bai dace da lambar daga ma'ajin aikin ba).
- G. Rashin daidaituwa na ma'ajiyar kunshin.
Misalin hari: Masu bincike sun sami damar tura madubai na wasu mashahuran ma'ajiyar fakitin don rarraba fakitin mugunta ta hanyar su.
Hanyar kariya da aka ba da shawarar: Tabbatar da cewa an tattara kayan tarihin da aka rarraba daga lambobin tushe da aka ayyana.
- H. Rikita mai amfani don shigar da kunshin da ba daidai ba.
Misalin hari: yin amfani da typosquatting (NPM, RubyGems, PyPI) don sanya fakiti a cikin ma'ajiyar da suka yi kama da rubuce-rubuce ga shahararrun aikace-aikacen (misali, rubutun kofi maimakon rubutun kofi).
Don toshe barazanar da aka yi wa tuta, SLSA tana ba da jeri na shawarwari, da kayan aikin sarrafa sarrafa metadata. SLSA yana taƙaita hanyoyin kai hari gama gari kuma yana gabatar da manufar matakan tsaro. Kowane matakin yana ƙaddamar da wasu buƙatun ababen more rayuwa don tabbatar da amincin kayan aikin da aka yi amfani da su wajen haɓakawa. Mafi girman matakin SLSA da aka goyan baya, ana aiwatar da ƙarin kariyar kuma ana samun ingantattun kayan aikin kariya daga hare-haren gama gari.
- SLSA 1 yana buƙatar tsarin ginin ya zama mai sarrafa kansa sosai kuma ya samar da metadata (“provenance”) game da yadda ake gina kayan tarihi, gami da bayanai game da tushe, abin dogaro, da tsarin ginin (misali janareta na metadata don dubawa an bayar da shi don Ayyukan GitHub). SLSA 1 baya haɗa da abubuwan kariya daga gyare-gyare na ɓarna, amma kawai yana gano lamba kuma yana ba da metadata don sarrafa rauni da nazarin haɗari.
- SLSA 2 - yana ƙara matakin farko ta hanyar buƙatar amfani da sarrafa sigar da sabis na taro waɗanda ke samar da ingantattun metadata. Amfani da SLSA 2 yana ba ku damar gano asalin lambar kuma yana hana canje-canje mara izini ga lambar a cikin amintaccen sabis na gini.
- SLSA 3 - yana tabbatar da cewa lambar tushe da dandamalin ginin sun cika buƙatun ƙa'idodi waɗanda ke ba da tabbacin ikon tantance lambar da tabbatar da amincin metadata da aka bayar. Ana ɗauka cewa masu duba za su iya ba da tabbacin dandamali daidai da buƙatun ƙa'idodi.
- SLSA 4 shine matakin mafi girma, yana haɓaka matakan da suka gabata tare da buƙatu masu zuwa:
- Bita na wajibi na duk canje-canje ta masu haɓakawa daban-daban guda biyu.
- Duk matakan ginawa, lamba, da abubuwan dogaro dole ne a bayyana su gabaɗaya, duk abin dogaro dole ne a fitar da su daban kuma a tabbatar da su, kuma dole ne a aiwatar da tsarin gini a layi.
- Yin amfani da tsarin ginawa mai maimaitawa yana ba ka damar maimaita aikin ginawa da kanka kuma tabbatar da cewa an gina mai aiwatarwa daga lambar tushe da aka bayar.
source: budenet.ru