サプライチェーンとSLSA

サプライチェーンとSLSA 2022/04/12

ソフトウェアサプライチェーン https://slsa.dev/spec/v0.1/terminology より

脅威 https://slsa.dev/spec/v0.1/threats より

実際の攻撃：Linux Hypocrite Commits • https://lore.kernel.org/lkml/202105051005.49BFABCE@keesco ok/ • 研究目的で脆弱性を含むパッチをLinuxカーネルコミュニティーに投稿した

実際の攻撃：Linux Hypocrite Commits

実際の攻撃：SolarWinds • https://www.crowdstrike.com/blog/sunspot-malware-technic al-analysis/ • ビルドシステムにマルウェア • コンパイルに関わるプロセスの実行を監視し、ソースファイルを置き換えて、バックドアを仕込む

実際の攻撃：SolarWinds

実際の攻撃：CodeCov • https://about.codecov.io/apr-2021-post-mortem/ • 漏洩した鍵を使ってGCSに悪意のあるファイルをアップロードし、ユーザーに配信

実際の攻撃：CodeCov

SLSAとは • SLSA：Supply chain Levels for Software Artifacts • サプライチェーンにおける成果物の完全性に関するフレームワーク
• GoogleのBinary Authorization for Borgが元になっている • 4つのレベル https://slsa.dev/spec/v0.1 より

SLSAレベルレベル1 ビルドプロセスのドキュメント化レベル2 ビルドサービスの耐タンパー性レベル3 特定の脅威に対するさらなる耐性レベル4 最高レベルの信頼と信用

実装：GitHub Actions • SLSA GitHub Generatorを使う • やってくれること ◦ provenanceの生成
▪ 任意のアーティファクト ◦ provenanceの署名 ▪ Sigstoreを使ってActionsのOIDCトークンで署名する • やってくれないこと ◦ 特になし（GitLab CI・Cloud Buildと比較）

実装：GitLab CI • SLSAが組み込まれている（GitLab Runner 15.1 ~） • やってくれること ◦
provenanceの生成 ▪ ジョブアーティファクト • やってくれないこと ◦ ジョブアーティファクト以外に対するprovenanceの生成 ◦ provenanceの署名 ▪ gitlab.com/gitlab-org/gitlab-runner/-/issues/29063

実装：Cloud Build • SLSAが組み込まれている • やってくれること ◦ provenanceの生成 ▪ Java・Python・コンテナ
◦ provenanceの署名 ▪ DSSEに準拠した署名 • やってくれないこと ◦ Java・Python・コンテナ以外に対するprovenanceの生成

SLSA 1.0に向けて • 変更点 ◦ 複数のトラックに分割 ▪ 1.0 RCではビルドトラック（L1 ~
L3）のみ ◦ provenanceの検証について明確化 • 今後の方向性 ◦ ビルドトラック L4の追加 ◦ ソーストラックの追加

所感 • まだ仕様が安定していないので導入は慎重にしたい ◦ 0.1 → 1.0は変更が大きいので1.0まで待ちたい ◦ 1.0以降は仕様が追加されるだけになりそう •
必要に応じてポリシーエンジンを導入する ◦ GKE・Cloud Runの場合はBinary Authz ◦ Sigstoreの場合はPolicy Controller • Sigstoreを使う際はRekorに注意

参考文献 • https://slsa.dev • https://github.com/slsa-framework/slsa-github-generator • https://docs.gitlab.com/ee/ci/runners/conﬁgure_runners.html • https://cloud.google.com/build/docs/securing-builds/view-build-provenance

サプライチェーンとSLSA

サプライチェーンとSLSA

yoseio

Other Decks in Programming

Featured

Transcript