Google et GitHub proposent de réduire le piratage de chaînes d’approvisionnement

Trois grandes entreprises informatiques ont proposé un moyen de créer des versions d’applications inviolables qui réduisent les risques de piratage des chaînes d’approvisionnement, comme celui contre la chaîne de SolarWinds.Illustration du concept de sécurité et d'un écran tactile

Plusieurs des récents piratages de logiciels médiatisés qui ont alarmé des utilisateurs d’informatique libre dans le monde étaient des conséquences de vulnérabilités de l’intégrité de la chaîne d’approvisionnement, a déclaré Google dans un billet de blogue jeudi.

Par exemple, lors de la compromission du processus de mise à jour de sécurité de SolarWinds Orion, des pirates informatiques ont pris le contrôle d’un serveur pour utiliser des fichiers sources malveillants, de manière à injecter des artefacts malveillants dans une plateforme compromise.

Google et ses partenaires ont donc construit un cadre prototype pour générer une provenance non falsifiable pour les applications. Au départ, il ne fonctionne que pour les applications créées dans le langage Go. Il utilise les flux de GitHub pour l’isolation et les outils de signature numérique de Sigstore pour l’authenticité.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Vulnérabilité Log4j2 dans l’application Serv-U

Cibles 2022 : chaînes d’approvisionnement et États

SolarWinds : le groupe Nobelium encore actif, selon Mandiant

Adaptation et traduction vers le français par Dominique Lemoine

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Balado Hashtag Tendances, 15 septembre 2022 — Fin du Pixelbook, Uber Eats sans chauffeur, piles rapides pour VÉ et « Reels » d’Instagram

Balado Hashtag Tendances, 15 septembre 2022 — Cette semaine : La fin du Pixelbook de Google, des voitures autonomes Uber Eats, une nouvelle pile pour les véhicules électriques et des résultats décevants pour « Reels » d’Instagram.

Google élargit son programme de primes aux bogues pour couvrir GitHub et d’autres projets en code source libre

Google ajoute à son programme de primes qui paie pour la découverte de vulnérabilités d'applications. Mardi, la société a lancé le programme Open Source Software Vulnerability Rewards (OSS VRP) pour récompenser les découvertes de bogues dans les projets à code source libre de Google.

Google met à jour son moteur de recherche pour rétrograder les pièges à clics

Google apportera des modifications aux résultats retournés par ses moteurs de recherche pour promouvoir le contenu original plutôt que des articles purement optimisés pour les moteurs de recherche qui n’offrent pas d’information ou sont des pièges à clics.

Une étude révèle que Microsoft domine la fidélité à la marque pour les appareils de productivité

Plume, une plate-forme de logiciel en service pour les fournisseurs de services de communication, a publié son dernier rapport mensuel Plume IQ, basé sur les données et les informations axées sur le client. 

Balado Hashtag Tendances, 11 août 2022 — Un nouveau Winamp, AirPods USB-C, panne de Google, erreurs chez Equifax

Balado Hashtag Tendances, 11 août 2022 — Cette semaine : Le lecteur de musique qui ne veut pas mourir, le port USB-C chez Apple, une panne majeure des services de Google et des variations des cotes de crédit Equifax.