Google已經強化其知名跨平臺UI框架Flutter的軟體供應鏈安全性,進一步使持續整合調度應用程式Cocoon,達到SLSA Level 3供應鏈安全性。SLSA(Supply chain Levels for Software Artifacts framework)是Google在2021年所推出的軟體供應鏈安全框架,該框架制訂一組安全指引,透過對套件和構件的認證,讓開源軟體使用者有信心所使用的程式未經竄改。
Flutter Cocoon應用程式替Flutter基礎設施提供持續整合調度,能夠將多個持續整合服務與GitHub相整合,讓開發者能夠更簡單地使用GitHub開發。Flutter Cocoon在2022年的時候達到SLSA level 2安全性,意味著Cocoon已經達到SLSA Level 1與SLSA Level 2的安全性。
SLSA Level 1是最低層級的要求,只包括基本的安全措施,在建構過程必須完全腳本化和自動化,並生成包括建置過程、頂層原始碼和相依項目出處(Provenance)等資訊。SLSA Level 1無法防止篡改,僅有基本的程式碼出處識別,提供有助漏洞管理的機制,而SLSA Level 2則需要使用可生成經身份驗證出處的版本控制和託管建置服務,因此Cocoon在去年就已經擁有防止篡改的能力。
現在Cocoon達到SLSA Level 3,則代表出處程式碼和建置平臺都符合標準,可保證出處的可稽核性和出處完整性,稽核人員可以依循SLSA流程,證明平臺符合要求,使專案使用者能夠相信該專案的安全性,而且SLSA Level 3能夠防止包括交叉建置感染等特定類別的威脅,具有比Level 2更高等級的防篡改能力。
Google表示,SLSA Level 3的目的是要提高安全性,透過驗證建置出處確保Cocoon原始碼和構件都合格。出處指得是構件建置方法的描述,包括建置所用的機器類型、原始碼位置,以及建置構件所使用的指令等資訊,相比SLSA Level 2僅要求出處,SLSA Level 3更要求出處必須經驗證合格。
Cocoon使用了SLSA Verifier工具來驗證出處,所有Cocoon建置只有在具有合格出處的時候才會被接受,而出處必須證明構件是在Cloud Build執行個體上建置,且原始碼來自GitHub上的Cocoon儲存庫,Google提到,這些限制確保Cocoon構件安全且可靠。
除了持續提高Cocoon的SLSA Level之外,Google也在努力提高更複雜的專案,諸如Flutter和引擎的SLSA Level,官方提到,由於這些專案要提升SLSA Level,需要徹底改造構件生成過程,並且強化發布工作流程以符合安全規範,因此還有很多挑戰需要克服。
熱門新聞
2024-08-14
2024-12-24
2024-12-20
2024-12-22
2024-12-23
2024-12-23