ဖွံ့ဖြိုးတိုးတက်မှုကာလအတွင်း အန္တရာယ်ရှိသောပြောင်းလဲမှုများကို ကာကွယ်ရန် Google မှ SLSA ကို အဆိုပြုခဲ့သည်။

Google သည် ကုဒ်ရေးသားခြင်း၊ စမ်းသပ်ခြင်း၊ တပ်ဆင်ခြင်းနှင့် ဖြန့်ဖြူးခြင်းစသည့် အဆင့်တွင် လုပ်ဆောင်ခဲ့သော တိုက်ခိုက်မှုများမှ ဖွံ့ဖြိုးတိုးတက်မှုဆိုင်ရာ အခြေခံအဆောက်အအုံဆိုင်ရာ အတွေ့အကြုံကို အကျဉ်းချုပ်ဖော်ပြသည့် SLSA (Supply-chain Levels for Software Artifacts) မူဘောင်ကို မိတ်ဆက်ခဲ့သည်။

ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်များသည် ပိုမိုရှုပ်ထွေးလာပြီး နောက်ဆုံးထုတ်ကုန်ရှိ အားနည်းချက်များကို ဖော်ထုတ်အသုံးချခြင်းမဟုတ်ဘဲ ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်ကိုယ်တိုင်က အပေးအယူလုပ်ခြင်းမဟုတ်ဘဲ ဆက်စပ်တိုက်ခိုက်မှုများ၏ တိုးတက်မှုအတွက် အဆင်သင့်အခြေအနေများကို ဖန်တီးပေးသည့် ပြင်ပအဖွဲ့အစည်းကိရိယာများပေါ်တွင် မှီခိုနေရပါသည်။ ကုဒ်ရေးသားခြင်း လုပ်ငန်းစဉ်တွင် အန္တရာယ်ရှိသော အပြောင်းအလဲများကို မိတ်ဆက်ခြင်း၊ ဖြန့်ဝေထားသော အစိတ်အပိုင်းများနှင့် မှီခိုမှုများ အစားထိုးခြင်း)။

မူဘောင်သည် ကုဒ်ဖွံ့ဖြိုးတိုးတက်မှု၊ စည်းဝေးပွဲ၊ စမ်းသပ်ခြင်းနှင့် ဖြန့်ဖြူးခြင်းစသည့် အဆင့်တွင် အန္တရာယ်ရှိသော အပြောင်းအလဲများ ပြုလုပ်နိုင်သည့် ခြိမ်းခြောက်မှုဆိုင်ရာ တိုက်ခိုက်မှု 8 မျိုးတွင် ထည့်သွင်းစဉ်းစားပါသည်။

• A. အားနည်းချက်များဆီသို့ ဦးတည်သွားစေသည့် backdoors သို့မဟုတ် လျှို့ဝှက်အမှားများပါရှိသော အရင်းအမြစ်ကုဒ်တွင် အပြောင်းအလဲများ ပါဝင်သည်။

  တိုက်ခိုက်မှုတစ်ခု၏ ဥပမာ- "Hypocrite Commits" - Linux kernel တွင် အားနည်းချက်များရှိသော ဖာထေးရန် ကြိုးပမ်းမှု။

  အကြံပြုထားသော လုံခြုံရေးနည်းလမ်း- ဆော့ဖ်ဝဲရေးသားသူ နှစ်ဦး၏ ပြောင်းလဲမှုတစ်ခုစီ၏ သီးခြားသုံးသပ်ချက်။

• B. အရင်းအမြစ်ကုဒ်ထိန်းချုပ်မှုပလပ်ဖောင်း၏ အလျှော့အတင်း။

  တိုက်ခိုက်မှုတစ်ခု၏ဥပမာ- ဆော့ဖ်ဝဲရေးသားသူစကားဝှက်များပေါက်ကြားပြီးနောက် PHP ပရောဂျက်တစ်ခု၏ Git repository သို့ အန္တရာယ်ရှိသောအန္တရာယ်ကို ထိုးသွင်းခြင်းသည် တံခါးပေါက်တစ်ခုဖြင့် ကျူးလွန်သည်။

  အကြံပြုထားသော ကာကွယ်မှုနည်းလမ်း- ကုဒ်စီမံခန့်ခွဲမှုပလပ်ဖောင်း၏ လုံခြုံရေးကို တိုးမြှင့်ခြင်း ( PHP တွင်၊ SSH သော့ကို မစစ်ဆေးဘဲ စကားဝှက်ကို အသုံးပြု၍ လော့ဂ်အင်ဝင်သည့်အခါ အပြောင်းအလဲများကို ပေးပို့နိုင်စေမည့် အပြောင်းအလဲများကို PHP တွင် အသုံးပြုထားသော HTTPS အင်တာဖေ့စ်မှတဆင့် လုပ်ဆောင်သွားပါသည်။ စိတ်မချရသော MD5 ကို စကားဝှက်များ ဟက်ရှ်ရန် အသုံးပြုခဲ့သည်)။

• C. တည်ဆောက်မှု သို့မဟုတ် စဉ်ဆက်မပြတ် ပေါင်းစပ်စနစ်သို့ ကုဒ်လွှဲပြောင်းခြင်း အဆင့်တွင် အပြောင်းအလဲများ ပြုလုပ်ခြင်း (သိုလှောင်မှုမှ ကုဒ်နှင့် မကိုက်ညီသော ကုဒ်ကို တည်ဆောက်ထားသည်)။

  တိုက်ခိုက်မှု၏နမူနာ- တည်ဆောက်ပုံအခြေခံအဆောက်အအုံကို ပြောင်းလဲခြင်းဖြင့် Webmin အတွင်းသို့ backdoor တစ်ခုကို ထိုးသွင်းခြင်းဖြင့် သိုလှောင်ရာရှိ ဖိုင်များနှင့် ကွဲပြားသည့် ကုဒ်ဖိုင်များကို အသုံးပြုခြင်းကို ဖြစ်ပေါ်စေသည်။

  အဆိုပြုထားသည့် ကာကွယ်မှုနည်းလမ်း- ခိုင်မာမှုကို စစ်ဆေးခြင်းနှင့် တပ်ဆင်ဆာဗာရှိ ကုဒ်၏ရင်းမြစ်ကို ခွဲခြားသတ်မှတ်ခြင်း။

• ဃ။ စည်းဝေးစင်မြင့်၏ အပေးအယူ။

  တိုက်ခိုက်မှုတစ်ခု၏ ဥပမာ- SolarWinds တိုက်ခိုက်မှု၊ တပ်ဆင်မှုအဆင့်အတွင်း SolarWinds Orion ထုတ်ကုန်တွင် ကျောရိုးတစ်ခုတပ်ဆင်ခြင်းကို သေချာစေသည့်ကာလအတွင်း SolarWinds တိုက်ခိုက်မှု။

  အဆိုပြုထားသည့် ကာကွယ်မှုနည်းလမ်း- တပ်ဆင်ပလက်ဖောင်းအတွက် အဆင့်မြင့်လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ခြင်း။

• E. အရည်အသွေးနိမ့်သော မှီခိုမှုများမှတစ်ဆင့် အန္တရာယ်ရှိသောကုဒ်ကို မြှင့်တင်ခြင်း။

  တိုက်ခိုက်မှုတစ်ခု၏ ဥပမာ- အန္တရာယ်ကင်းသော မှီခိုမှုကို ပေါင်းထည့်ခြင်းဖြင့် ဤမှီခိုမှု၏ အပ်ဒိတ်တစ်ခုတွင် အန္တရာယ်ရှိသော ကုဒ်ကို ထည့်သွင်းခြင်းဖြင့် လူကြိုက်များသော event-stream ဒစ်ဂျစ်တိုက်သို့ backdoor တစ်ခုအား မိတ်ဆက်ခြင်း (ဤမှီခိုမှု၏ အန္တရာယ်ရှိသောပြောင်းလဲမှုသည် git repository တွင် ထင်ဟပ်ခြင်းမရှိသော်လည်း၊ အပြီးသတ် MNP ပက်ကေ့ဂျ်တွင်သာ ရှိနေသည်)။

  အကြံပြုထားသော ကာကွယ်မှုနည်းလမ်း- SLSA လိုအပ်ချက်များကို မှီခိုမှုအားလုံးတွင် ထပ်ခါတလဲလဲ အသုံးပြုပါ (ဖြစ်ရပ်-ထုတ်လွှင့်မှုတွင်၊ စစ်ဆေးမှုသည် ပင်မ Git သိုလှောင်မှု၏ အကြောင်းအရာများနှင့် မကိုက်ညီသည့် ကုဒ်အစုအဝေးကို ဖော်ပြပါမည်)။

• F. CI/CD စနစ်တွင် မဖန်တီးထားသော ရှေးဟောင်းပစ္စည်းများကို အပ်လုဒ်လုပ်ခြင်း။

  တိုက်ခိုက်မှု၏နမူနာ- တိုက်ခိုက်သူများအား သုံးစွဲသူ၏ စဉ်ဆက်မပြတ်ပေါင်းစပ်မှုစနစ်ပတ်ဝန်းကျင်များတွင် သိမ်းဆည်းထားသော အချက်အလက်များကို ထုတ်ယူခွင့်ပြုသည့် CodeCov script တွင် အန္တရာယ်ရှိသောကုဒ်ကို ထည့်သွင်းခြင်း။

  အဆိုပြုထားသော ကာကွယ်မှုနည်းလမ်း- ရှေးဟောင်းပစ္စည်းများ၏ အရင်းအမြစ်နှင့် ခိုင်မာမှုကို ထိန်းချုပ်ခြင်း (CodeCov တွင်၊ codecov.io ဝဘ်ဆိုက်မှ ပေးပို့သော Bash Uploader script သည် ပရောဂျက်သိုလှောင်မှုမှ ကုဒ်နှင့် မကိုက်ညီကြောင်း ဖော်ထုတ်နိုင်သည်)။

• G. ပက်ကေ့ဂျ်သိုလှောင်မှုအား အပေးအယူလုပ်ခြင်း။

  တိုက်ခိုက်မှုတစ်ခု၏နမူနာ- သုတေသီများသည် အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်များကို ၎င်းတို့မှတစ်ဆင့် ဖြန့်ဝေရန်အတွက် ရေပန်းစားသော ပက်ကေ့ဂျ်အချို့၏ ကြေးမုံများကို အသုံးချနိုင်ခဲ့သည်။

  အကြံပြုထားသော ကာကွယ်မှုနည်းလမ်း- ဖြန့်ဝေထားသော ရှေးဟောင်းပစ္စည်းများကို ကြေညာထားသော အရင်းအမြစ်ကုဒ်များမှ စုစည်းထားကြောင်း အတည်ပြုခြင်း။

• H. ပက်ကေ့ဂျ်မှားယွင်းထည့်သွင်းရန် အသုံးပြုသူကို စိတ်ရှုပ်ထွေးစေခြင်း။

  တိုက်ခိုက်မှုတစ်ခု၏နမူနာ- typosquatting (NPM၊ RubyGems၊ PyPI) ကိုအသုံးပြု၍ လူကြိုက်များသောအက်ပ်လီကေးရှင်းများနှင့်စာရေးခြင်းဆင်တူသော repositories များတွင် packages များထားရှိရန် (ဥပမာ၊ coffe-script အစား coffe-script)။

အလံပြထားသော ခြိမ်းခြောက်မှုများကို ပိတ်ဆို့ရန်၊ SLSA သည် အကြံပြုချက်အစုံအလင်နှင့် စာရင်းစစ်မက်တာဒေတာကို အလိုအလျောက်ပြုလုပ်ရန် ကိရိယာများ ပံ့ပိုးပေးပါသည်။ SLSA သည် ဘုံတိုက်ခိုက်မှုနည်းလမ်းများကို အကျဉ်းချုပ်ပြီး လုံခြုံရေးအလွှာများ၏ သဘောတရားကို မိတ်ဆက်ပေးသည်။ အဆင့်တစ်ခုစီသည် ဖွံ့ဖြိုးတိုးတက်မှုတွင် အသုံးပြုသည့် ရှေးဟောင်းပစ္စည်းများ၏ ခိုင်မာမှုကို သေချာစေရန်အတွက် အချို့သော အခြေခံအဆောက်အအုံဆိုင်ရာ လိုအပ်ချက်များကို ချမှတ်ထားသည်။ ပံ့ပိုးပေးထားသော SLSA အဆင့်ပိုမြင့်လေ၊ ကာကွယ်မှုများ ပိုမိုလုပ်ဆောင်လာလေဖြစ်ပြီး အခြေခံအဆောက်အဦအား သာလွန်သော တိုက်ခိုက်မှုများမှ ကာကွယ်နိုင်လေဖြစ်သည်။

• SLSA 1 သည် တည်ဆောက်မှုလုပ်ငန်းစဉ်အား အပြည့်အဝအလိုအလျောက်လုပ်ဆောင်ရန်နှင့် အရင်းအမြစ်များ၊ မှီခိုမှုများနှင့် တည်ဆောက်မှုလုပ်ငန်းစဉ်ဆိုင်ရာ အချက်အလက်အပါအဝင် ရှေးဟောင်းပစ္စည်းများကို တည်ဆောက်ပုံအကြောင်း ("သက်သေပြချက်") အကြောင်းကို မက်တာဒေတာကို ဖန်တီးရန် လိုအပ်သည် (GitHub လုပ်ဆောင်ချက်များအတွက် စာရင်းစစ်အတွက် ဥပမာ မက်တာဒေတာမီးစက်ကို ပံ့ပိုးပေးသည်)။ SLSA 1 တွင် အန္တရာယ်ရှိသော ပြုပြင်မွမ်းမံမှုများကို အကာအကွယ်ပေးသည့် အစိတ်အပိုင်းများ မပါဝင်သော်လည်း ကုဒ်ကို ခွဲခြားသတ်မှတ်ပြီး အားနည်းချက် စီမံခန့်ခွဲမှုနှင့် စွန့်စားသုံးသပ်မှုများအတွက် မက်တာဒေတာကို ပံ့ပိုးပေးပါသည်။
• SLSA 2 - စစ်မှန်ကြောင်း အတည်ပြုထားသော မက်တာဒေတာကို ထုတ်လုပ်သည့် ဗားရှင်းထိန်းချုပ်မှုနှင့် စည်းဝေးပွဲဝန်ဆောင်မှုများကို အသုံးပြုခြင်းဖြင့် ပထမအဆင့်ကို တိုးချဲ့သည်။ SLSA 2 ကိုအသုံးပြုခြင်းသည် သင့်အား ကုဒ်၏ဇာစ်မြစ်ကို ခြေရာခံနိုင်စေပြီး ယုံကြည်စိတ်ချရသော တည်ဆောက်မှုဝန်ဆောင်မှုများတွင် ကုဒ်သို့ ခွင့်ပြုချက်မရှိဘဲ ပြောင်းလဲမှုများကို တားဆီးပေးသည်။
• SLSA 3 - အရင်းအမြစ်ကုဒ်နှင့် တည်ဆောက်မှုပလပ်ဖောင်းသည် ကုဒ်ကိုစစ်ဆေးနိုင်မှုနှင့် ပေးထားသည့် မက်တာဒေတာ၏ သမာဓိရှိမှုတို့ကို သေချာစေသည့် စံသတ်မှတ်ချက်များနှင့် ကိုက်ညီကြောင်း အတည်ပြုသည်။ စာရင်းစစ်များသည် စံချိန်စံညွှန်းများ၏ လိုအပ်ချက်များနှင့် ဆန့်ကျင်ဘက် ပလပ်ဖောင်းများကို အသိအမှတ်ပြုနိုင်သည်ဟု ယူဆပါသည်။
• SLSA 4 သည် အမြင့်ဆုံးအဆင့်ဖြစ်ပြီး ယခင်အဆင့်များကို အောက်ဖော်ပြပါ လိုအပ်ချက်များဖြင့် ဖြည့်စွက်သည်-
  • မတူညီသော developer နှစ်ဦးမှ ပြောင်းလဲမှုများအားလုံးကို မဖြစ်မနေ ပြန်လည်သုံးသပ်ပါ။
  • တည်ဆောက်မှုအဆင့်များ၊ ကုဒ်နှင့် မှီခိုမှုများအားလုံးကို အပြည့်အဝကြေညာရမည်ဖြစ်ပြီး မှီခိုမှုအားလုံးကို သီးခြားထုတ်နုတ်ပြီး အတည်ပြုရမည်ဖြစ်ပြီး တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို အော့ဖ်လိုင်းတွင် လုပ်ဆောင်ရမည်ဖြစ်သည်။
  • ထပ်ခါတလဲလဲ လုပ်နိုင်သော တည်ဆောက်မှု လုပ်ငန်းစဉ်ကို အသုံးပြုခြင်းဖြင့် သင်သည် တည်ဆောက်မှု လုပ်ငန်းစဉ်ကို သင်ကိုယ်တိုင် ထပ်ခါတလဲလဲ လုပ်ဆောင်နိုင်စေပြီး ပေးထားသော အရင်းအမြစ်ကုဒ်မှ executable ကို တည်ဆောက်ထားကြောင်း သေချာစေပါသည်။
  
  
  source: opennet.ru