SLSA:Supply-chain Levels for Software Artifacts (软件产品的供应链级别)是一个端到端的框架,用于确保整个软件供应链中的软件工件的完整性。这些框架的灵感来自于 Google 内部的 "Binary Authorization for Borg",Google 在过去 8 年多的时间里一直在使用,并且是 Google 所有生产工作负载的强制性检查器。
重要提示:SLSA 是一个不断发展的规范,我们正在通过 GitHub issues、电子邮件或反馈表寻找广泛的反馈。
概述
SLSA 包括:
- 标准:(本文档)业界对“安全”软件供应链定义的共识。可能有多种标准来表示安全的多个方面。
- 认证:组织证明符合这些标准的过程。
- 技术控制:记录出处并检测或防止违规。
最终,软件消费者决定信任谁以及执行什么标准。有鉴于此,认证是一种跨组织边界传递信任的手段。例如,一家公司可能会在内部“认可”其内部源和构建系统,同时依靠 OpenSSF 来认可第三方。其他组织可能信任其他认证机构。
本文件只讨论第一部分,标准。我们希望随着时间的推移制定认证流程和技术控制。在此期间,这些级别可以作为指导如何保护软件供应链提供价值。
原则
SLSA 侧重于以下两个主要原则:
-
非单方面:任何人都不能修改软件供应链中任何地方的软件工件,除非经过至少一个其他“受信任的人”的明确审查和批准。目的是预防、威慑和/或早期发现风险的变化。
-
可审计:软件工件可以安全透明地追溯来源和依赖项。主要目的是自动分析来源和依赖关系,以及临时调查。
尽管并不完美,但这两个原则为广泛的篡改、混淆和其他供应链攻击提供了实质性的缓解。
为了根据上述两个原则衡量供应链的保护程度,我们提出了 SLSA 级别。更高的级别意味着它得到更好的保护。SLSA 4 是最终目标,但对于大型组织而言可能需要多年时间和大量投资。
-
1.1.1.完整性 Android是一个完整的平台,即为移动设备提供的一套完整的软件架构。 面向开发者,Android提供了一套完整的工具和框架,以简化开发过程、提高开发效率。想要开发Android应用的话,Android SDK就是你所需的一切——甚至不需要一台真正的手机。 面向用户,Android开机即用。而且,用户可以按照自己的喜好做出相当程度的自定义。 面向生产厂商,Android就是令他
-
完整的利用链 至此,我们已经讨论了很多方面来说明如何远程漏洞利用这辆吉普和类似的车型。目前为止,这些信息已经足够你实现完整的漏洞利用,但是我们想要总结一下漏洞链是如何自始至终发挥作用的。 识别目标 你需要车辆的IP地址。你可以随便选择一个或写一个蠕虫来入侵所有的车辆。如果你知道汽车的VIN或GPS,你可以根据你所了解的车辆停留位置来扫描其IP范围,直到发现对应的VIN或GPS。由于Sprint网络
-
null openssl pkcs12-export-in cert1.pem-inkey privkey1.pem-out cert_and_key.p12-name certificate-cafile fullchain1.pem-caname root keytool-importKeystore-destStorePAS5W0RD123-destKeypass Pas5w0rd123-d
-
参考:https://www.youtube.com/watch?v=kE51N84hBxU 为了检查块的完整性,将nonce和内容散列在一起,然后检查零的数量是否与挖掘块的“家伙”散列的零的数量匹配。 为什么我们不只是比较挖掘后的散列,为什么我们只比较零的数量?我的意思是,这对我来说没有什么意义,因为比较完整的散列确实提供了更多的安全性,这需要付出很多努力。
-
主要内容:1. 域限制,2. 实体完整性约束,3. 参照完整性约束,4. 键限制(约束)完整性约束是一组规则,它用于保持信息质量。 完整性约束确保必须以不影响数据完整性的方式执行数据插入,更新和其他过程。 因此,完整性约束用于防止对数据库的意外损坏。 完整性约束的类型 1. 域限制 域约束可以定义为属性的有效值集的定义。 域的数据类型包括字符串,字符,整数,时间,日期,货币等。属性的值必须在相应的域中可用。 示例 - 2. 实体完整性约束 实体完整性约束表明主键值不能为空()。 这是
-
当在客户端和服务器之间使用WebSocket全双工数据连接时,我是否保证,当从服务器发送两条消息时,我将在客户端接收到这两条完全相同的消息,而TCP没有这样做? 换句话说,如果服务器依次发送,然后发送,那么客户机是否总是接收包含和的两条消息,或者客户机是否可能接收,然后接收之类的消息?