Trois grandes entreprises informatiques ont proposé un moyen de créer des versions d’applications inviolables qui réduisent les risques de piratage des chaînes d’approvisionnement, comme celui contre la chaîne de SolarWinds.
Plusieurs des récents piratages de logiciels médiatisés qui ont alarmé des utilisateurs d’informatique libre dans le monde étaient des conséquences de vulnérabilités de l’intégrité de la chaîne d’approvisionnement, a déclaré Google dans un billet de blogue jeudi.
Par exemple, lors de la compromission du processus de mise à jour de sécurité de SolarWinds Orion, des pirates informatiques ont pris le contrôle d’un serveur pour utiliser des fichiers sources malveillants, de manière à injecter des artefacts malveillants dans une plateforme compromise.
Google et ses partenaires ont donc construit un cadre prototype pour générer une provenance non falsifiable pour les applications. Au départ, il ne fonctionne que pour les applications créées dans le langage Go. Il utilise les flux de GitHub pour l’isolation et les outils de signature numérique de Sigstore pour l’authenticité.
Lire aussi :
Vulnérabilité Log4j2 dans l’application Serv-U
Cibles 2022 : chaînes d’approvisionnement et États
SolarWinds : le groupe Nobelium encore actif, selon Mandiant
Adaptation et traduction vers le français par Dominique Lemoine
