更高水准的供应链安全实践:Alibaba Dragonwell 及其 SLSA 2 级认证...
发布网友
发布时间:2024-09-27 18:05
共1个回答
热心网友
时间:2024-09-29 17:42
在计算机科学领域,多种编程语言如C/C++、Java、JavaScript、Ruby、Python、Perl等各具特色。其中,Java凭借面向对象、自动内存管理、多线程性能优越等优势,持续处于软件开发的领先地位。市场上提供了许多优质的OpenJDK衍生版本,它们在性能、优化方面各有特色。然而,作为基础软件,确保Java应用的安全性和可靠性是最基本的需求。
阿里巴巴Dragonwell是一款免费、生产级的OpenJDK发行版,阿里巴巴提供长期支持,包括性能增强和安全修复。它具有以下五大优势:
安全与稳定:与OpenJDK社区紧密合作,同步更新,确保Java应用的安全和稳定性。
性能与效率:源自阿里巴巴内部使用的AJDK,经过大量业务场景验证的新技术,显著提高了阿里巴巴Java业务的性能和故障排查效率。
Java SE标准兼容:完全遵循Java SE标准,确保应用的兼容性和稳定性。
特色功能:Extended Edition具备JWarmup、ElasticHeap等特色功能,解决生产实践中的痛点。
新技术快速采用:基于阿里工程实践,快速采用高版本Java的重要功能,用户可免费使用。
随着Dragonwell的迭代,更多新特性被开源。然而,确保使用Dragonwell的Java应用来源可靠,防止篡改和保障构建过程的安全性至关重要。供应链安全成为了当前关注的重点。
软件供应链安全的核心在于确保软件的来源、完整性以及抵抗恶意篡改的能力。SLSA(Software Supply Chain Security)标准正是为此而生,为软件生产商提供了一套安全框架,通过防止篡改、提高完整性来保护项目、业务或企业中的包和基础设施。这一标准旨在为开发人员和企业提供行业标准、公认且商定的保护和合规级别,以确保软件的安全性和可靠性。
阿里巴巴选择参考SLSA标准,主要是因为其两个重要原则,即确保构建的自动化和验证的可靠性。为实现这些目标,阿里巴巴与Eclipse Adoptium社区紧密合作,成为其战略基石成员。通过Eclipse Adoptium社区,阿里巴巴对OpenJDK发行版进行优化和适配,最终实现了Dragonwell的安全等级提升至SLSA v0.1 specification的2级要求。
具体来说,实现SLSA 1级要求包括:
所有构建步骤被定义在构建脚本中,避免了手动干预。
软件出处以消费者接受的格式提供,确保了来源的透明度。
生成SBOM(软件材料清单)文件,记录了构建信息,包括环境、组件信息、构建指令和参数。
为了达到SLSA 2级要求,阿里巴巴实施了更严格的版本管理和构建服务控制,包括:
源码跟踪和版本控制,确保每次修改都被记录。
使用Git管理源码,并要求特定的提交格式。
构建在服务中进行,生成经过身份验证的出处。
使用私钥进行数字签名,确保出处的真实性和完整性。
构建过程在安全可控的环境中进行,匿名用户无执行权限。
展望未来,阿里巴巴将持续与Eclipse Adoptium社区合作,提升Dragonwell的产品质量和合规等级,确保用户能够获取安全、可靠的Java运行环境。通过SLSA标准的实施,阿里巴巴不仅为用户提供了一个安全、稳定的开发平台,还为整个软件供应链安全提供了有力的保障。
