Google宣布UI框架Flutter中的Cocoon應用程式,已經實踐軟體供應鏈安全框架SLSA第二級安全性,並且將專案身分和存取管理(IAM)權限降低到所需的最低權限,實作基礎設施即程式碼以管理應用程式的權限。SLSA是Google在2021年,為因應軟體供應鏈安全威脅所提出的安全框架

Cocoon是Flutter基礎設施持續整合調度應用程式,同時Cocoon還協助將多個持續整合服務與GitHub整合,並提供工具簡化GitHub開發。而Cocoon達到SLSA第二級代表著,Google已經解決了該應用程式中第一級和第二級的所有安全問題,Cocoon已經對軟體供應鏈特定威脅有一定的抵抗力。

而Google還針對docs-flutter-dev、master-docs-flutter-dev和flutter-dashboard專案實施額外的安全強化,這些專案扮演著重要角色,包括替Flutter提供公共文件、以及Flutter建置狀態的儀表板網站。

Google透過基礎設施即程式碼,對這些專案進行身分和存取管理,官方提到,現在所實施的基礎設施即程式碼方法,需要程式碼變更來更改安全權限,而這也能確保更改之前獲得批准,也就是說,安全權限的更改會經過原始碼控制審核,這些應用程式現有的IAM角色被削減,使應用程式遵循最小權限原則。

熱門新聞

Advertisement