Google introduċiet il-qafas SLSA (Supply-chain Levels for Software Artifacts), li jiġbor fil-qosor l-esperjenza eżistenti fil-protezzjoni tal-infrastruttura tal-iżvilupp minn attakki mwettqa fl-istadju tal-kitba tal-kodiċi, l-ittestjar, l-assemblaġġ u d-distribuzzjoni ta 'prodott.
Il-proċessi ta’ żvilupp qed isiru dejjem aktar kumplessi u dipendenti fuq għodod ta’ partijiet terzi, li joħolqu kundizzjonijiet favorevoli għall-avvanz ta’ attakki relatati mhux mal-identifikazzjoni u l-isfruttament ta’ vulnerabbiltajiet fil-prodott finali, iżda mal-kompromess tal-proċess ta’ żvilupp innifsu (attakki tal-katina tal-provvista, ġeneralment immirati lejn introduzzjoni ta’ bidliet malizzjużi fil-proċess tal-kitba tal-kodiċi, sostituzzjoni ta’ komponenti distribwiti u dipendenzi).
Il-qafas iqis 8 tipi ta 'attakki relatati mat-theddida li jsiru bidliet malizzjużi fl-istadju tal-iżvilupp tal-kodiċi, l-assemblaġġ, l-ittestjar u d-distribuzzjoni tal-prodott.
- A. Inklużi bidliet fil-kodiċi tas-sors li fihom backdoors jew żbalji moħbija li jwasslu għal vulnerabbiltajiet.
Eżempju ta' attakk: "Ipokrita Kommetti" - tentattiv biex jippromwovi garża b'vulnerabbiltajiet fil-kernel tal-Linux.
Metodu ta 'sigurtà suġġerit: reviżjoni indipendenti ta' kull bidla minn żewġ żviluppaturi.
- B. Kompromess tal-pjattaforma tal-kontroll tal-kodiċi tas-sors.
Eżempju ta 'attakk: injezzjoni ta' kommessi malizzjużi b'door ta 'wara fir-repożitorju Git ta' proġett PHP wara li l-passwords tal-iżviluppaturi ġew leaked.
Metodu ta’ protezzjoni suġġerit: Żieda fis-sigurtà tal-pjattaforma tal-ġestjoni tal-kodiċi (fil-każ tal-PHP, l-attakk sar permezz ta’ interface HTTPS ftit użata, li ppermetta li jintbagħtu bidliet meta tidħol fid-dħul bl-użu ta’ password mingħajr ma tiċċekkja ċ-ċavetta SSH, minkejja il-fatt li MD5 mhux affidabbli ntuża biex hash passwords).
- C. Tagħmel bidliet fl-istadju tat-trasferiment tal-kodiċi għall-bini jew sistema ta 'integrazzjoni kontinwa (jinbena kodiċi li ma jaqbilx mal-kodiċi mir-repożitorju).
Eżempju ta' attakk: L-injezzjoni ta' backdoor f'Webmin billi tagħmel bidliet fl-infrastruttura tal-bini, li tirriżulta fl-użu ta' fajls tal-kodiċi li huma differenti mill-fajls fir-repożitorju.
Metodu ta 'protezzjoni propost: Iċċekkjar tal-integrità u identifikazzjoni tas-sors tal-kodiċi fuq is-server tal-assemblaġġ.
- D. Kompromess tal-pjattaforma tal-assemblaġġ.
Eżempju ta' attakk: l-attakk SolarWinds, li matulu l-installazzjoni ta' backdoor fil-prodott SolarWinds Orion ġiet żgurata matul l-istadju tal-assemblaġġ.
Metodu ta 'protezzjoni propost: implimentazzjoni ta' miżuri ta 'sigurtà avvanzati għall-pjattaforma ta' assemblaġġ.
- E. Promozzjoni ta' kodiċi malizzjuż permezz ta' dipendenzi ta' kwalità baxxa.
Eżempju ta’ attakk: l-introduzzjoni ta’ backdoor fil-librerija popolari tal-avvenimenti biż-żieda ta’ dipendenza li ma tagħmilx ħsara u mbagħad inkluża kodiċi malizzjuż f’wieħed mill-aġġornamenti ta’ din id-dipendenza (il-bidla malizzjuża ma kinitx riflessa fir-repożitorju git, iżda kienet preżenti biss fil-pakkett MNP lest).
Metodu ta 'protezzjoni suġġerit: applika b'mod rikorsiv ir-rekwiżiti SLSA għad-dipendenzi kollha (fil-każ ta' fluss ta 'avvenimenti, il-kontroll jiżvela l-assemblaġġ tal-kodiċi li ma jikkorrispondix mal-kontenut tar-repożitorju Git ewlieni).
- F. Tlugħ ta' artifacts mhux maħluqa fis-sistema CI/CD.
Eżempju ta' attakk: iż-żieda ta' kodiċi malizzjuż mal-iskript CodeCov, li ppermetta lill-attakkanti biex estratt informazzjoni maħżuna f'ambjenti ta' sistema ta' integrazzjoni kontinwa tal-klijenti.
Metodu ta 'protezzjoni propost: kontroll fuq is-sors u l-integrità tal-artifatti (fil-każ ta' CodeCov, jista 'jiġi żvelat li l-iskrittura ta' Bash Uploader mibgħuta mill-websajt codecov.io ma tikkorrispondix mal-kodiċi mir-repożitorju tal-proġett).
- G. Kompromess tar-repożitorju tal-pakketti.
Eżempju ta' attakk: Ir-riċerkaturi setgħu jużaw mirja ta' xi repożitorji ta' pakketti popolari sabiex iqassmu pakketti malizzjużi permezz tagħhom.
Metodu ta' protezzjoni suġġerit: Verifika li l-artifatti mqassma huma kkompilati mill-kodiċi tas-sors iddikjarati.
- H. Tħawwad lill-utent biex jinstalla l-pakkett ħażin.
Eżempju ta' attakk: l-użu ta' typosquatting (NPM, RubyGems, PyPI) biex ipoġġi pakketti f'repożitorji li huma simili bil-miktub għal applikazzjonijiet popolari (pereżempju, coffe-script minflok coffee-script).
Biex timblokka t-theddid immarkat, SLSA toffri sett ta’ rakkomandazzjonijiet, kif ukoll għodod biex awtomatizzat il-ħolqien tal-metadejta tal-awditjar. SLSA jiġbor fil-qosor metodi ta 'attakk komuni u jintroduċi l-kunċett ta' saffi ta 'sigurtà. Kull livell jimponi ċerti rekwiżiti tal-infrastruttura biex tiġi żgurata l-integrità tal-artifacts użati fl-iżvilupp. Aktar ma jkun għoli l-livell SLSA appoġġjat, aktar protezzjonijiet jiġu implimentati u aħjar l-infrastruttura tkun protetta minn attakki komuni.
- SLSA 1 teħtieġ li l-proċess tal-bini jkun kompletament awtomatizzat u jiġġenera metadejta (“provenjenza”) dwar kif jinbnew l-artifatti, inkluża informazzjoni dwar sorsi, dipendenzi, u l-proċess tal-bini (ġeneratur ta’ metadejta ta’ eżempju għall-awditjar huwa pprovdut għall-Azzjonijiet GitHub). SLSA 1 ma jinkludix elementi ta' protezzjoni kontra modifiki malizzjużi, iżda sempliċement jidentifika kodiċi u jipprovdi metadejta għall-ġestjoni tal-vulnerabbiltà u l-analiżi tar-riskju.
- SLSA 2 - jestendi l-ewwel livell billi jeħtieġ l-użu ta 'kontroll tal-verżjoni u servizzi ta' assemblaġġ li jiġġeneraw metadata awtentikata. L-użu ta 'SLSA 2 jippermettilek li tintraċċa l-oriġini tal-kodiċi u jipprevjeni bidliet mhux awtorizzati fil-kodiċi fil-każ ta' servizzi ta 'bini ta' fiduċja.
- SLSA 3 - tikkonferma li l-kodiċi tas-sors u l-pjattaforma tal-bini jissodisfaw ir-rekwiżiti ta 'standards li jiggarantixxu l-abbiltà li jivverifikaw il-kodiċi u jiżguraw l-integrità tal-metadata pprovduta. Huwa preżunt li l-awdituri jistgħu jiċċertifikaw il-pjattaformi kontra r-rekwiżiti tal-istandards.
- SLSA 4 huwa l-ogħla livell, li jissupplimenta l-livelli preċedenti bir-rekwiżiti li ġejjin:
- Reviżjoni obbligatorja tal-bidliet kollha minn żewġ żviluppaturi differenti.
- Il-passi, il-kodiċi u d-dipendenzi kollha tal-bini għandhom jiġu ddikjarati bis-sħiħ, id-dipendenzi kollha għandhom jiġu estratti u verifikati separatament, u l-proċess tal-bini għandu jitwettaq offline.
- L-użu ta 'proċess ta' bini li jista 'jiġi ripetut jippermettilek tirrepeti l-proċess ta' bini lilek innifsek u tiżgura li l-eżekutibbli jinbena mill-kodiċi sors provdut.
Sors: opennet.ru