Новый фреймворк Google защитит от встраивания вредоносного кода 

Новый фреймворк Google защитит от встраивания вредоносного кода 

29.06.2021      11851

Компания Google представила новый фреймворк SLSA. Он защитит ПО от внедрения вредоносного кода в процессе разработки. 

Суть решения

SLSA (Supply Chain Levels for Software Artifacts – уровни цепочки поставок для программных артефактов) – новая структура сборки ПО. Она призвана обеспечить целостность программных артефактов (результатов сборки) в цепочках поставок софта.

Фреймворк построен на базе инструментов двоичной авторизации для Borg. Это основа Kubernetes – среды для оркестровки контейнеров, которая используется для создания и развертывания различных решений. В Google более восьми лет используют эти инструменты, чтобы защитить собственное ПО. 

 

 

По сути, фреймворк SLSA – это набор принципов, которые определяют, как достичь каждого из четырех уровней безопасности приложений. На самом нижнем уровне он требует, чтобы процесс сборки полностью определяли сценарии, а генерируемые метаданные позволяли бы точно определить происхождение продукта. На самом высоком уровне SLSA предполагается, что все изменения, сделанные во время герметичного воспроизводимого процесса сборки, подтверждали бы как минимум два специалиста. Такая система позволит заверить всех участников цепочки поставок, что продукт не был скомпрометирован. 

Но конечная цель развития этого продукта – появление структуры для автоматической генерации проверяемых метаданных. Их можно будет ввести в механизмы политик для создания сертификата SLSA.

Почему это важно

В последнее время произошло сразу несколько крупных скандалов, связанных с нарушением цепочки поставок программного обеспечения. Например, из-за внедрения вредоносного кода в продукты компании SolarWinds, которая занимается созданием решений для защиты от киберугроз, пострадали более 250 крупных компаний, ведомств и федеральных агентств в США, в том числе организации, занимавшиеся разработкой ядерного оружия. 

Инцидент с SolarWinds заставил разработчиков сконцентрироваться на повышении уровня контроля над созданием ПО. И многим киберпреступникам пришлось переключиться на компрометацию учетных данных программистов, чтобы внедрять вредоносное ПО в процессе разработки приложений, либо использовать уязвимости, которые непреднамеренно появились из-за неправильной конфигурации инфраструктуры.

В то же время объем атак на цепочку поставок программного обеспечения продолжает расти. Организации не в силах справляться с угрозами, просто обучая разработчиков. Некоторые компании формируют новые команды специалистов по кибербезопасности и дают им карт-бланш на внедрение мер для защиты цепочек поставок. Однако это негативно сказывается на скорости разработки ПО и потенциально ведет к невыполнению условий контрактов. 

Ким Левандовски, продакт-менеджер по проектам ПО с открытым исходным кодом для обеспечения безопасности в Google, заявил: внедрение SLSA может стать основой систем безопасности как для свободного, так и для проприетарного (коммерческого) ПО. Конечно, «серебряной пули» для 100% надежной защиты софта не существует, но структура, которая в конечном итоге автоматизирует как можно больше процессов безопасности в контексте рабочего процесса DevOps, будет иметь большое значение для укрепления цепочки поставок, добавил эксперт.



Источник: https://infostart.ru/journal/news/tekhnologii/novyy-freymvork-google-zashchitit-ot-vstraivaniya-vredonosnogo-koda_1467374/
Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Рейтинг 1-го уровня
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Visa разработала способ превратить почти любое устройство в POS-терминал

Новость ИТ-новость Новости компаний Онлайн-торговля

Visa запустила платформу, которая позволяет большинству популярных устройств подключаться к облаку и функционировать как платежный терминал. Решение уже доступно для тестирования в шести регионах.

21.01.2022    1064    VKuser24342747    0       

Число патентов на нейросетевые технологии показало взрывной рост

Новость Искусственный интеллект ИТ-новость

Агрегатор патентных данных IFI Claims провел исследование рынка, что узнать: какие страны и компании наиболее активно регистрируют права на изобретения в области компьютерных систем, основанных на биологических моделях.

20.01.2022    1196    VKuser24342747    0       

Nvidia обновила программу для генерации пейзажей при помощи ИИ

Новость Искусственный интеллект ИТ-новость

Новая версия графического редактора Nvidia Canvas, создающего изображения по примитивному наброску, поддерживает высокое разрешение картинок и предлагает больше материалов.

19.01.2022    1694    VKuser24342747    0       

Производитель «Эльбрусов» раскритиковал отсрочку внедрения российских процессоров

Новость Импортозамещение ИТ-новость

Компания «МЦСТ», выпускающая российские процессоры «Эльбрус», опасается угрозы нацбезопасности после ввода балльной системы оценки для отечественной радиоэлектроники.

18.01.2022    1707    VKuser24342747    0       

Сводит олдскулы: культовую игру Prince of Persia перенесли в браузер

Новость

Энтузиаст Оливер Клеменц портировал одну из любимых игр детства на современные компьютеры, планшеты и смартфоны – чтобы сыграть в нее сегодня, достаточно открыть браузер.

18.01.2022    1139    user1015646    0       

Минцифры намерено предустановить российские ОС на ноутбуки HP, Acer и Lenovo

Новость Импортозамещение ИТ-новость

Министерство цифрового развития начало переговоры с представителями компаний HP, Acer и Lenovo о возможности предустановки отечественных операционных систем на устройства производителей.

10.01.2022    6042    VKuser24342747    2       

OpenAI обучила нейросеть редактировать изображение по текстовому описанию

Новость Искусственный интеллект ИТ-новость

OpenAI показала результат работы программы GLIDE, которая способна внести изменения в готовое изображение по описанию с сохранением стиля и экспозиции. Также нейросеть может создавать уникальные картинки.

29.12.2021    7980    VKuser24342747    0       

Google посоветовала разработчикам адаптировать Android-приложения под Chrome OS

Новость ОС Android Google ИТ-новость

Google сообщила, что работает над крупным обновлением для Chrome OS, которое позволит более эффективно работать с Android-приложениями, поэтому разработчикам стоит задуматься над адаптацией своих программ.

28.12.2021    9437    VKuser24342747    0       

Новый инструмент Microsoft использует искусственный интеллект для поиска багов в коде

Новость Искусственный интеллект ИТ-новость Новости компаний

Microsoft представила новый инструмент на базе искусственного интеллекта. BugLab использует технологии глубокого обучения, чтобы находить баги в коде и давать советы по их исправлению.

24.12.2021    10278    user1015646    0       

Яндекс научил «Балабобу» генерировать новогодние открытки

Новость Искусственный интеллект ИТ-новость Яндекс

Яндекс представил обновление для своего нейросетевого сервиса для создания текстов «Балабоба». Веб-приложение научилось генерировать именные поздравления с Новым годом и изображения к ним.

21.12.2021    12221    VKuser24342747    0       

В Windows можно будет запускать Android-игры

Новость Windows Google ИТ-новость Мобильные приложения Новости компаний

На выставке The Game Awards компания Google заявила, что Android-игры придут в Windows на десктопе уже в 2022 году.

20.12.2021    10239    user1015646    0       

Языковая модель DeepMind превосходит аналоги по качеству работы

Новость Искусственный интеллект ИТ-новость

ИИ-лаборатория DeepMind представила исследования возможностей больших языковых моделей. В компании пришли к выводу, что необходимо дальнейшее масштабирование таких систем.

17.12.2021    18134    VKuser24342747    0       

Лауреатов «Премии Рунета 2021» впервые определил искусственный интеллект

Новость Искусственный интеллект ИТ-новость

По традиции призеров определяет экспертное сообщество. Однако в этом году организаторы поручили искусственному интеллекту выбрать по одному дополнительному победителю в каждой номинации.

16.12.2021    26271    VKuser24342747    1       

МИД разработает систему на базе ИИ для анализа внешней политики

Новость Искусственный интеллект ИТ-новость

МИД России намерен в следующем году представить концептуальный проект системы на базе машинного обучения для анализа big data в отношении внешнеполитической деятельности.

16.12.2021    10364    VKuser24342747    0       

Компания Mozilla представила стабильную версию браузера Firefox 95

Новость Интернет ИТ-новость

В обновленном веб-обозревателе появилась продвинутая песочница для надежной защиты браузера. Кроме того, добавлена версия для Microsoft Store в Windows 11, улучшена производительность и скорость загрузки страниц.

15.12.2021    7423    VKuser24342747    0       

Россия догонит международный рынок квантовых технологий в 2030 году

Новость ИТ-новость

Минцифры сообщило о планах сократить отставание страны от глобального рынка квантовых вычислений к 2025 году. Еще через пять лет Россия достигнет уровня других государств в этой отрасли.

14.12.2021    10776    VKuser24342747    4       

В России запустили аналог GitHub

Новость git GitHub Импортозамещение ИТ-новость

Российские разработчики представили платформу для работы с Git-репозиториями – GitFlic. Это облачный сервис для совместного редактирования кода и контроля версий программных продуктов.

14.12.2021    22334    user1015646    4       

Разработчики ИИ получат 10 млрд рублей для создания ПО для бизнеса

Новость ИТ-новость

Минэкономики представило проект, который позволяет компаниям, создающим программы на базе ИИ, интернета вещей и 5G, получить до 250 млн рублей на адаптацию софта под нужны крупного бизнеса.

10.12.2021    12007    VKuser24342747    3       

Российский ИИ проведет психоанализ по постам в социальных сетях

Новость Искусственный интеллект ИТ-новость Соцсети

В России создадут систему искусственного интеллекта, которая будет оценивать психологическое состояние жителей страны по материалам на их страницах в социальных сетях. Грант на разработку получил Институт системного программирования.

10.12.2021    10850    user1015646    2       

В популярном браузере появился сверхбезопасный режим

Новость Безопасность Интернет ИТ-новость

В браузер Microsoft Edge, который поставляется с Windows 10 и 11, добавили сверхбезопасный режим Super Duper Secure Mode. Он защищает от выполнения вредоносного кода и предупреждает утечку данных.

09.12.2021    12293    user1015646    1       

Минцифры поможет независимо оценить компетенции цифровой экономики

Новость ИТ-новость Минкомсвязь Цифровая экономика

Министерство цифрового развития запустило сервис, который предназначен для подтверждения навыков и умения применять их для решения рабочих задач в цифровой экономике.

08.12.2021    8310    VKuser24342747    0       

Отчет IDC – инвестиции в квантовые вычисления будут расти

Новость Аналитика ИТ-новость

Международная корпорация данных IDC опубликовала прогноз для мирового рынка квантовых вычислений, согласно которому среднегодовые темпы роста отрасли составят 50,9% за прогнозируемый период с 2021 по 2027 год.

08.12.2021    8565    SKravchenko    0       

Windows 11 начала отговаривать пользователей от установки Google Chrome

Новость Windows Интернет ИТ-новость

В Windows 11 появилось предупреждение при установке Google Chrome, в котором сообщается, что этот браузер старше Microsoft Edge и компания не доверяет ему.

07.12.2021    14063    VKuser24342747    3       

Российская компания создала смартфон для ОС «Касперского»

Новость ОС Безопасность Импортозамещение ИТ-новость Мобильные приложения Новости компаний

Компания «Аквариус» представила устройство Aquarius CMP NS M11, которое полностью совместимо с Kaspersky OS. К концу года организация готова произвести 3 тыс. экземпляров телефона.

07.12.2021    11089    VKuser24342747    5       

Российская ОС «Аврора» получила крупное обновление до версии 4.0

Новость ОС ИТ-новость Мобильные приложения Новости компаний

Компания «Открытая мобильная платформа» выпустила мобильную операционную систему «Аврора» 4.0. Релиз включает более 300 улучшений, из них 40 – важные нововведения.

03.12.2021    16112    VKuser24342747    6