Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ

Google Launches SLSA, a New Framework for Supply Chain Integrity

2021/06/18 DarkReading — 今週の Google だが、ソフトウェアのサプライチェーン全体を通して、ソフトウェア成果物の整合性を確保するための End-to-End フレームワークである、Supply chain Levels for Software Artifacts (SLSA) を発表した。Salsa と発音される SLSA は、Google 社内で採用されている Binary Authorization for Borg (BAB) という、コード・レビュー・プロセスから着想を得ている。

BAB の目的は、Google に導入されるプロダクション・ソフトウェアがレビュー/認証されていることを確認し、インサイダー・リスクを低減することにある。8年以上も前から、Google は BAB を採用しており、すべてのプロダクション・ワークロードの必須となっている。その一方で、SLSA の目的は、この2年間で増加していると Google も認識している、サプライチェーンの完全性に対する攻撃からの防御にある。

SolarWinds や Codecov への攻撃を受けて複雑なサプライチェーンを保護するためのフレームワークの必要性を、Google は指摘しています。Google の Open Source Security Team の Kim Lewandowski と、Binary Authorization for Borg Team の Mark Lodato は、「現状の SLSA は、業界のコンセンサスにより確立されつつある、段階的に導入が可能なセキュリティ・ガイドラインのセットである」と、ブログで述べている。

また、その最終形については、ベスト・プラクティスのリストとは。異なるものになるだろうと、彼らは指摘している。SLSA は監査が可能なメタデータの自動作成をサポートし、そのメタデータをポリシーエンジンに供給することで、パッケージやビルド・プラットフォームに対して、SLSA 認証を与えることができる。

Lewandowsi と Lodato は SLSA について、インクリメンタルかつアクショナブルな設計になっていると説明しているとのことです。SLSA は 4つのレベルで構成されており、レベル4 は理想的な状態を示します。下位のレベルは、セキュリティの完全性を段階的に保証していくためのものです。レベル4 では、コードが改ざんされておらず、ソースを安全に追跡できることが、コンシューマに対して保証されます。この Google ブログ記はココです。

%d bloggers like this: