Google et GitHub proposent de réduire le piratage de chaînes d’approvisionnement


Howard Solomon - 11/04/2022

Trois grandes entreprises informatiques ont proposé un moyen de créer des versions d’applications inviolables qui réduisent les risques de piratage des chaînes d’approvisionnement, comme celui contre la chaîne de SolarWinds.Illustration du concept de sécurité et d'un écran tactile

Plusieurs des récents piratages de logiciels médiatisés qui ont alarmé des utilisateurs d’informatique libre dans le monde étaient des conséquences de vulnérabilités de l’intégrité de la chaîne d’approvisionnement, a déclaré Google dans un billet de blogue jeudi.

Par exemple, lors de la compromission du processus de mise à jour de sécurité de SolarWinds Orion, des pirates informatiques ont pris le contrôle d’un serveur pour utiliser des fichiers sources malveillants, de manière à injecter des artefacts malveillants dans une plateforme compromise.

Google et ses partenaires ont donc construit un cadre prototype pour générer une provenance non falsifiable pour les applications. Au départ, il ne fonctionne que pour les applications créées dans le langage Go. Il utilise les flux de GitHub pour l’isolation et les outils de signature numérique de Sigstore pour l’authenticité.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Vulnérabilité Log4j2 dans l’application Serv-U

Cibles 2022 : chaînes d’approvisionnement et États

SolarWinds : le groupe Nobelium encore actif, selon Mandiant

Adaptation et traduction vers le français par Dominique Lemoine




Tags: , , , , , , ,
Howard Solomon

À propos de Howard Solomon

Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.