Ref: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html
今天要探討的是一個由 Google Blog 於上個月所推廣的軟體安全性框架,該框架名為 SLSA,全名則是 Supply Chain Levels for Software Artifacts,中文部分我不知道該怎麼翻譯才可以精準達到意思,所以建議就唸英文就好了。
該框架的目的是希望於整個軟體生產鏈中能夠進一步的去提升且確保所有產物的完整性(Integrity 這個詞該怎麼翻呢..)。
文章中用了一個很簡易的流程來清楚的解釋到底何謂 Software Supply Chain 以及整個流程中可能會有什麼問題。
Software Supply Chain 一個範例譬如
1. 開發者撰寫程式碼,並且提交到遠方的 SCM Repository
2. SCM Repo 因為程式碼改變,所以觸發相關的 CI/CD 流程
3. CI/CD 建置結束後則需要打包整個程式碼,產生最後的 Package.
4. 產生後的 Packet 則可以正式上場使用
文章認為上述的流程中有兩個不同類別的安全性問題,分別是
1. Source Integrity
2. Build Integrity.
Source Integrity 這邊主要是針對 Source Code 相關的問題,譬如
1. 開發者是否有意的故意塞入一些會不懷好意的程式碼到 SCM Repo 內。
範例: Linux Hypocrite commits, 之前美國某大學研究團隊基於研究嘗試上傳一些不太好的程式碼而影響的討論風波
2. SCM 的管理平台是否可能被惡意攻擊
範例: PHP 事件: 之前自架的 PHP Git Server 被攻擊者惡意攻擊並且塞入兩筆不懷好意的 Commit
而 Build Integrity 本身則是有更多不同的面向,譬如
1. SCM 觸發 CI/CD 過程是否有可能有問題
範例: Webmin 事件,攻擊者去修改團隊的建置系統去使用沒有被 SCM 所記錄的修改檔案。
2. CI/CD 建置系統本身被攻擊
範例: SolarWinds 事件,攻擊者攻破建置系統去安裝一些軟體來修改整的建置流程
3. CI/CD 建置過程中引用到錯誤的 Dependency
4. 攻擊者上傳一些惡意產物到應該只有 CI/CD 系統才可以存取的場所。
... 等
目前來說, SLSA 還處於非常早期階段,經由業界的共識來思考每個領域有什麼好的措施與指引來避免與偵測系統是否被攻破。其最終目標狀態是希望能夠根據環境自動產生出一套可整合到系統中的產物,並且最後可以給出 SLSA 憑證來給平台或是建置後的 Package。
對 SLSA 這個專案有興趣看看的請參考原始連結,內容不長但是頗有趣的
「git意思」的推薦目錄:
- 關於git意思 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
- 關於git意思 在 大马搵食Kaki Facebook 的最佳貼文
- 關於git意思 在 純靠北工程師 Facebook 的最讚貼文
- 關於git意思 在 Git達人教你搞懂GitHub基礎觀念 - iThome 的評價
- 關於git意思 在 第12 天:認識Git 物件的相對名稱 - GitHub 的評價
- 關於git意思 在 [Git] git remote add origin 中origin 的意思解析 - 薛惟仁筆記本 的評價
- 關於git意思 在 [Git][教學] 02. 開始使用GitHub, 註冊與建立repo。 - 進度條 的評價
- 關於git意思 在 Git 與Github 版本控制基本指令與操作入門教學 - TechBridge ... 的評價
- 關於git意思 在 Github應用教學-結合Microsoft Visual Studio Code編輯器 的評價
- 關於git意思 在 Chapter 3 Github Desktop-Individual | Minimal-Git-demo 的評價
- 關於git意思 在 git gud意思在PTT/Dcard完整相關資訊 - 數位感 的評價
- 關於git意思 在 git gud意思在PTT/Dcard完整相關資訊 - 數位感 的評價
- 關於git意思 在 [實戰心得] Git 與Github 版本控制 - sdlong's Blog 的評價
- 關於git意思 在 Git | 一篇文章搞定Git、GitHub的理解和使用(学习笔记) 的評價
- 關於git意思 在 [問卦] 靚坤、丁瑤、烏鴉、雷耀揚等反派誰最強? - PTT評價 的評價
- 關於git意思 在 [Git][教學] 終端機指令#01. [Windows]在Windows上面安裝Git指令 的評價
git意思 在 大马搵食Kaki Facebook 的最佳貼文
🔥🔥#一人只需RM498两天一夜‼入住 #怡保五星级豪华 The Banjaran Hotsprings Retreat Resort‼还送你去Sunway Lost World of Tambun放肆玩🎠🎢
.
.
😱😱这么漂亮又神秘的度假村不在国外!就在大马怡保!一人只要 #RM498 就可以在怡保The Banjaran Hotsprings Retreat Resort住2D1N‼还免费让你去Sunway Lost World of Tambun玩个够💥大家都知道位于怡保的度假村The Banjaran Hotsprings Retreat Resort风水好环境佳,一晚的价钱最少要RM1200++左右,还真下不了手💸💸
‼现在‼Myeatkaki要给粉丝好康🤩🤩两天一夜入住The Banjaran Hotsprings Retreat Resort一人只要RM498(最少2人同行)!还送你去Sunway Lost World of Tambun玩🎡没有骗你🔥限量配套,要预定要快哦(PM我们预定)🔥
🌈💦喜欢私人空间和泡温泉的朋友注意啦!The Banjaran Hotsprings Retreat Resort的每间房型备有🏊♂私人泳池,空间宽阔,一整天呆在房间都很舒服凉快❄离开房间可以enjoy到天然温泉!在山洞里面还有蒸汽洞给大家享受桑拿!喜欢做瑜伽的人可以去Crystal Cave放松身心灵,据说有紫水晶能量哦💜💜不要忘了还要去🐟Dr. Fish 浸脚去角质除死皮,或者去丛林漫步🚶♀反正就是有很多好玩的,整个人来到这里很relax很舒服,一点都不输国外✨✨
📌这次的RM498两天一夜入住The Banjaran Hotsprings Retreat Resort是由MICA响应Foliday Malaysia推出国内旅游配套,让大家用最省钱最划算最亲民价格,体验奢华又安全的自驾旅游Cuti-Cuti Malaysia🚘
快点JIO男朋友or闺蜜一起来!真的很便宜捏~只要RM498就可以了😍
.
.
The Banjaran Hotsprings Retreat, Ipoh Sunway Lost World Of Tambun
📍No. 1, Persiaran Lagun Sunway 3, Sunway City Ipoh, 31150 Ipoh, Perak Darul Ridzuan, Malaysia
Package offer by :
GIT TOURS & TRAVELS SDN BHD
No. 338A, 1st Floor,
Jalan Pudu, 55100 Kuala Lumpur.
不好意思❗ COUPON SOLD OUT ❗ 😅😅
我们 #大马搵食KAKI 和 #MICA 会继续为大家带来更多的好吃好玩优惠!
请继续关注 👇👇
MICA👇👇
https://www.facebook.com/MICAMalaysia2019/
FOLIDAY 👇👇
https://www.facebook.com/FolidayMalaysia/
和关注 #大马搵食Kaki #MyEatKaki 获取最新衣食住行情报!
⚠IG: https://www.instagram.com/myeatkakimalaysia/
⚠FB: https://www.facebook.com/myeatkaki/
⚠YOUTUBE: https://www.youtube.com/c/MYEATKAKI
git意思 在 純靠北工程師 Facebook 的最讚貼文
#純靠北工程師3om
#純靠北工程師3oj
我的狀況怎麼相反
我的前輩只會照前人講的話照做
前任亂寫他們照摳
我用好一點的管理方式寫Code,還會被酸,意思是自以為很聰明
就算我證明我的方式不影響現行架構且有益無害,還是要我把code改成跟他們一樣,理由是以前沒人這樣做
然後Git都隨便commit,訊息也都隨便打,把一些不相關的二進位檔跟dll加入版控,對他們來說Git就是在傳檔案的工具
👉 去 GitHub 給我們🌟用行動支持純靠北工程師 https://github.com/init-engineer/init.engineer
📢 匿名發文請至 https://kaobei.engineer/cards/create
🥙 全平台留言 https://kaobei.engineer/cards/show/4774
git意思 在 第12 天:認識Git 物件的相對名稱 - GitHub 的推薦與評價
Learn-Git-in-30-days/12.md at master · doggy8088/Learn-Git-in-30-days. ... 在沒有分支與合併的儲存庫中,關於 ^1 與 ~1 所表達的意思是完全相同的,都代表「前一 ... ... <看更多>
git意思 在 [Git] git remote add origin 中origin 的意思解析 - 薛惟仁筆記本 的推薦與評價
Git 真的是對程式開發者的一個大福音,其中一個很常下的指令是git remote add origin,它很基本以至於很少有文章介紹它的意思,因此在自己的好奇心之 ... ... <看更多>
git意思 在 Git達人教你搞懂GitHub基礎觀念 - iThome 的推薦與評價
2015年4月21日 — 黃保翕解釋,版本控制的目的在記錄檔案在某一段時間的變更,方便開發者追蹤原始碼,了解系統軟體的歷史變化。如果開發者修正了3個程式臭蟲,就得有3個版本 ... ... <看更多>