Google ra mắt nền tảng mới giúp ngăn chặn các cuộc tấn công Supply Chain

Các sự cố bảo mật của SolarWinds và Codecov làm dấy lên mối lo ngại về các cuộc tấn công Supply Chain. Để đảm bảo tính toàn vẹn của các gói phần mềm và ngăn chặn những sửa đổi trái phép, Google đã đưa ra một giải pháp mang tên SLSA.

SLSA giúp đảm bảo an toàn cho toàn bộ quy trình phát triển và triển khai phần mềm. Nhờ vậy, nó giúp giảm thiểu các mối đe dọa phát sinh từ những hoạt động trái phép như giả mạo mã nguồn, giả mạo nền tảng xây dựng phần mềm...

Thực chất, SLSA được lấy cảm hứng từ quy trình nội bộ của Google mang tên Binary Authorization for Borg. Quy trình này gồm một bộ công cụ kiểm tra và xác minh nguồn gốc của code và triển khai nhận diện code nhằm chắc chắn rằng phần mềm đã được đánh giá và ủy quyền đúng cách trước khi triển khai.

SLSA sẽ được triển khai theo các mức độ khác nhau. Ở các mức độ cao hơn, SLSA yêu cầu các biện pháp kiểm soát bảo mật mạnh mẽ hơn cho nền tảng xây dựng phần mềm. Vì thế, hacker sẽ gặp rất nhiều khó khăn trong việc xâm nhập.

Để triển khai SLSA, Google mong muốn nhận được sự hợp tác của tất cả các cơ quan, doanh nghiệp trong ngành phần mềm. Google cũng sẵn sàng chia sẻ các tài liệu kỹ thuật, các tiêu chuẩn cần thiết để đối tác có thể áp dụng SLSA vào hệ thống của họ.

Google thừa nhận rằng rất khó để đạt tiêu chuẩn SLSA cao nhất với hầu hết các dự án. Tuy nhiên, việc áp dụng các mức SLSA thấp hơn cũng sẽ giúp mức độ an toàn được gia tăng và mở đường cho việc cải thiện tính bảo mật của hệ sinh thái mã nguồn mở.