Google 与 GitHub 结盟，为保护软件供应链而战！

出品 | CSDN（ID：CSDNnews）

4月7日，据谷歌透露，它一直在跟GitHub合作， 创建一种防伪方法，用于签署源代码，解决像影响SolarWinds和Codecov等软件供应链攻击。

Callaway表示，谷歌还将致力于将安全功能嵌入DevOps平台，以确保软件供应链的完整性，此外还会告知开发人员构建更安全的软件的方法。

牵一发而动全身

过去两年，软件供应链攻击事件（对软件包进行未经授权的修改）时有发生，并且呈上升趋势。这种攻击能够影响所有用户，效果明显。软件开发和供应链部署都是相当复杂的，从源代码到构建 再到发布，整个工作流程中会存在众多威胁。

比如2020年底美国发生的“太阳风暴”攻击。SolarWinds是一家总部位于美国的 IT 公司，专门为企业和政府机构开发管理软件。黑客利用SolarWinds的 管软件漏洞， 攻陷了多个美国联邦机构及500强企业 络。包括美国国务院、五角大楼、国土安全局 等政府部门也遭到入侵。

这是一起典型的软件供应链攻击，APT（某组织对特定对象展开的持续有效的攻击活动）组织首先攻陷了SolarWinds的软件仓库（SVN）服务器，然后在SolarWinds的 管软件Orion 中植入了恶意软件。FireEye 将该恶意软件命名为Sunburst，微软则命名为“太阳门”（Solorigate）。此后，用户下载安装中毒的Orion软件更新包后就会被植入木马。

SolarWinds事件的影响范围非常广，波及全球多个国家和地区的 18000多个用户，而且潜伏期长、隐蔽性强，被认为时“ 史上最严重”的供应链攻击。

另外一起2021年4月发生的供应链攻击事件，复杂性堪比SolarWinds供应链攻击。软件审计公司Codecov的产品代码受到供应链攻击，导致数百个客户的 络遭到非法访问。Codecov的客户规模高达2.9万，其中包括许多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及《华盛顿邮 》和知名消费品公司（宝洁）等等。

在保护供应链方面进展甚微

这些重大事件体现出软件供应链存在的问题和隐患，软件供应链攻击难发现、难溯源、难清除，而攻击的成本很低，效率又高。所以努力预防软件供应链攻击事件的发生以及事后积极补救都是很有必要的。

市场研究公司Vanson Bourne进行了一项调查（访问了1750名IT安全决策者），在其4月发布的调查结果中显示，尽管发生了一系列备受瞩目的 络安全漏洞，但 近三分之二（62%）的受访者没有采取任何措施来保护他们的软件供应链。整整64%的人承认无法阻止对其软件开发环境的攻击。这表明，在保护软件供应链方面进展甚微，在这方面还需要做出更多的努力。

而这次谷歌和GitHub的联手，能够为软件供应链安全带来什么进展呢？对此谷歌表示：“不断提升的防篡改 (SLSA 3+级别) build 服务采用率将保证更强劲的开源生态系统，并有助于缩短当前供应链中易被利用的差距。”

参考资料：

END

《 新程序员001-004 》全面上市，对话世界级大师， 道中国IT行业创新创造

?俄罗斯人被禁止使用Arial等字体；苹果汽车将采用类似特斯拉的中控系统；Apache Struts2曝高危漏洞|极客头条

?“操作系统不以 C 开头和结尾，C 不等于整个世界”

? 主动出击！马斯克欲用 430 亿美元拿下 Twitter

—点这里 ↓↓↓记得关注标星哦~—

一键三连 「分享」「点赞」「在看」

成就一亿技术人