Pakkebiblioteker og relaterte verktøy er tilgjengelige for de fleste moderne programmeringsspråk: NPM for Javascript, Maven Repositories for Java, Pypi for Python og så videre.
Imidlertid er det sjelden noen sikkerhetsgarantier knyttet til pakkene. Hvis produktet er åpen kildekode, kan utvikleren eller firmaet gjennomgå kildekoden, men dette er som regel ikke praktisk mulig på grunn av bibliotekenes størrelse.
Hvis biblioteket finnes i binær form, er det dessuten sjelden noen garanti for at det binære produktet faktisk stammer fra kildekoden.
Etisk hacking-angrep på Apple, Paypal og andre har vist at kodebiblioteker er en reell fare, og de utgjorde også en del av det omfattende Solarwinds-angrepet.
Trinnvise sikkerhetsretningslinjer
Nå vil Google gjøre noe med problemet. Selskapet har lagt et forslag på bordet kalt Supply-chain Levels for Software Artifacts (SLSA).
Det er et ende-til-ende-rammeverk basert på et internt Google-produkt som ifølge utviklerne har vært i drift i selskapet i åtte år.
SLSA er et sett med trinnvise sikkerhetsretningslinjer som er fastsatt ut fra bransjepraksis, skriver Googles utviklere i et blogginnlegg.
Sertifisering
I sin endelige form vil SLSA imidlertid være mer enn bare en liste over «beste praksis». Rammeverket vil støtte automatisk generering av metadata som kan styres maskinelt og tilby en slags sertifisering for en gitt programvarepakke eller byggeplattform.
Det er mer informasjon om rammeverket på prosjektets nettsted.
Denne artikkelen ble først publisert på Version 2.
