Google чаҳорчӯбаи SLSA (Supply-chain Levels for Artifacts Software) -ро муаррифӣ кард, ки таҷрибаи мавҷударо дар ҳифзи инфрасохтори рушд аз ҳамлаҳо дар марҳилаи навиштани код, озмоиш, ҷамъоварӣ ва паҳнкунии маҳсулот ҷамъбаст мекунад.
Равандҳои рушд торафт мураккабтар ва вобаста ба абзорҳои тарафи сеюм мегарданд, ки барои пешбурди ҳамлаҳо на бо муайян кардан ва истифода бурдани осебпазирии маҳсулоти ниҳоӣ, балки ба осеб расонидан ба худи раванди рушд шароити мусоид фароҳам меорад (ҳамлаҳои занҷири таъминот, одатан ворид намудани тағйироти зараровар дар раванди навиштани код, иваз кардани ҷузъҳои тақсимшуда ва вобастагӣ).
Чаҳорчӯба 8 намуди ҳамлаҳои марбут ба таҳдиди ворид кардани тағйироти бад дар марҳилаи таҳияи код, ҷамъоварӣ, озмоиш ва паҳнкунии маҳсулотро ба назар мегирад.
- A. Аз ҷумла тағйирот дар коди сарчашма, ки дорои пушти дарҳои ё хатоҳои пинҳон, ки боиси осебпазирии.
Намунаи ҳамла: "Мунофиқ содир мекунад" - кӯшиши пешбурди часбҳои дорои осебпазирӣ дар ядрои Linux.
Усули пешниҳодшудаи амният: баррасии мустақили ҳар як тағирот аз ҷониби ду таҳиягар.
- B. Мушкилоти платформаи идоракунии рамзи сарчашма.
Намунаи ҳамла: ворид кардани содироти зараровар бо паси дар ба анбори Git-и лоиҳаи PHP пас аз ифшои паролҳои таҳиякунанда.
Усули муҳофизати пешниҳодшуда: Баланд бардоштани амнияти платформаи идоракунии код (дар мавриди PHP, ҳамла тавассути интерфейси каме истифодашудаи HTTPS анҷом дода шуд, ки имкон дод ҳангоми ворид шудан бо истифодаи парол бидуни тафтиши калиди SSH тағирот фиристода шавад, бо вуҷуди он далели он, ки MD5-и беэътимод барои ҳаш паролҳо истифода шудааст).
- $ C. Ворид кардани тағйирот дар марҳилаи интиқоли код ба сохтор ё системаи муттаҳидсозии муттасил (коде, ки ба коди анбор мувофиқат намекунад сохта шудааст).
Намунаи ҳамла: ворид кардани пушти дар ба Webmin тавассути ворид кардани тағирот ба инфрасохтори сохтмон, ки дар натиҷа истифодаи файлҳои рамзӣ аз файлҳои репозиторий фарқ мекунад.
Усули муҳофизати пешниҳодшуда: Санҷиши якпорчагӣ ва муайян кардани манбаи код дар сервери маҷлис.
- D. Муросо кардани платформаи васлкунӣ.
Намунаи ҳамла: ҳамлаи SolarWinds, ки дар ҷараёни он насби пушти дар ба маҳсулоти SolarWinds Orion дар марҳилаи васлкунӣ таъмин карда шуд.
Усули муҳофизати пешниҳодшуда: татбиқи чораҳои пешрафтаи амниятӣ барои платформаи васлкунӣ.
- E. Пешбурди рамзи зараровар тавассути вобастагии пастсифат.
Намунаи ҳамла: ворид намудани backdoor ба китобхонаи маъмули ҷараёни чорабиниҳо тавассути илова кардани вобастагии безарар ва сипас дар яке аз навсозиҳои ин вобастагӣ дохил кардани рамзи зараровар (тағйироти зараровар дар анбори git инъикос наёфтааст, аммо танҳо дар бастаи тайёри MNP мавҷуд аст).
Усули муҳофизати пешниҳодшуда: талаботи SLSA-ро ба ҳама вобастагӣ ба таври рекурсивӣ татбиқ кунед (дар ҳолати ҷараёни ҳодиса, санҷиш маҷмӯи кодро ошкор мекунад, ки ба мундариҷаи анбори асосии Git мувофиқат намекунад).
- F. Боркунии артефактҳое, ки дар системаи CI/CD офарида нашудаанд.
Намунаи ҳамла: илова кардани рамзи зараровар ба скрипти CodeCov, ки ба ҳамлагарон имкон дод, ки иттилооти дар муҳити пайвастаи системаҳои муттасили муштариро истихроҷ кунанд.
Усули муҳофизати пешниҳодшуда: назорат аз болои манбаъ ва якпорчагии артефактҳо (дар мавриди CodeCov, метавон ошкор кард, ки скрипти Bash Uploader, ки аз вебсайти codecov.io фиристода шудааст, ба коди анбори лоиҳа мувофиқат намекунад).
- G. Мушкилоти анбори бастаҳо.
Намунаи ҳамла: Тадқиқотчиён тавонистанд оинаҳои баъзе анбори бастаҳои маъмулро барои паҳн кардани бастаҳои зараровар тавассути онҳо ҷойгир кунанд.
Усули муҳофизати пешниҳодшуда: Тасдиқи он, ки артефактҳои тақсимшуда аз кодҳои сарчашмаи эълоншуда тартиб дода шудаанд.
- H. Ба иштибоҳ андохтани корбар барои насб кардани бастаи нодуруст.
Намунаи ҳамла: бо истифода аз typosquatting (NPM, RubyGems, PyPI) барои ҷойгир кардани бастаҳо дар анборҳо, ки аз ҷиҳати хаттӣ ба замимаҳои маъмул шабоҳат доранд (масалан, кофе-скрипт ба ҷои кофе-скрипт).
Барои бастани таҳдидҳои ишорашуда, SLSA маҷмӯи тавсияҳо ва инчунин асбобҳоро барои автоматикунонии эҷоди метамаълумоти аудит пешниҳод мекунад. SLSA усулҳои умумии ҳамларо ҷамъбаст мекунад ва мафҳуми қабатҳои амниятро муаррифӣ мекунад. Ҳар як сатҳ талаботи муайяни инфрасохторро барои таъмини якпорчагии артефактҳои дар таҳия истифодашаванда муқаррар мекунад. Чӣ қадаре ки сатҳи дастгирӣшудаи SLSA баланд бошад, ҳамон қадар муҳофизат бештар амалӣ карда мешавад ва инфрасохтор аз ҳамлаҳои умумӣ ҳамон қадар беҳтар муҳофизат карда мешавад.
- SLSA 1 талаб мекунад, ки раванди сохтан пурра автоматӣ карда шавад ва метамаълумот (“таъсис”) дар бораи чӣ гуна сохта шудани артефактҳо, аз ҷумла маълумот дар бораи манбаъҳо, вобастагӣ ва раванди сохтмон тавлид шавад (генератори намунавии метамаълумот барои аудит барои Амалҳои GitHub пешниҳод карда мешавад). SLSA 1 унсурҳои муҳофизатро аз тағироти зараровар дар бар намегирад, балки танҳо кодро муайян мекунад ва метамаълумотро барои идоракунии осебпазирӣ ва таҳлили хатарҳо таъмин мекунад.
- SLSA 2 - сатҳи аввалро тавассути талаб кардани истифодаи хидматҳои идоракунии версия ва васлкунӣ, ки метамаълумоти тасдиқшударо тавлид мекунанд, васеъ мекунад. Истифодаи SLSA 2 ба шумо имкон медиҳад, ки пайдоиши кодро пайгирӣ кунед ва аз тағироти беиҷозат ба код дар ҳолати хидматрасонии сохтани боваринок пешгирӣ кунед.
- SLSA 3 - тасдиқ мекунад, ки коди ибтидоӣ ва платформаи сохтмон ба талаботи стандартҳо мувофиқат мекунад, ки қобилияти аудити кодро кафолат медиҳанд ва тамомияти метамаълумотҳои пешниҳодшударо кафолат медиҳанд. Тахмин меравад, ки аудиторҳо метавонанд платформаҳоро мувофиқи талаботи стандартҳо тасдиқ кунанд.
- SLSA 4 сатҳи баландтарин буда, сатҳҳои қаблиро бо талаботи зерин пурра мекунад:
- Баррасии ҳатмии ҳама тағирот аз ҷониби ду таҳиягари гуногун.
- Ҳама қадамҳои сохтмон, рамз ва вобастагӣ бояд пурра эълон карда шаванд, ҳама вобастагӣ бояд алоҳида истихроҷ ва тафтиш карда шаванд ва раванди сохтмон бояд офлайн иҷро карда шавад.
- Истифодаи раванди такроршаванда ба шумо имкон медиҳад, ки раванди сохтани худатонро такрор кунед ва боварӣ ҳосил кунед, ки файли иҷрошаванда аз рамзи сарчашмаи додашуда сохта шудааст.
Манбаъ: opennet.ru