谷歌宣布Android虚拟化框架的核心组件pKVM(受保护的KVM)已获得SESIP 5级认证,这是首个面向消费电子领域大规模部署的软件安全系统达到此安全级别。这意味着Android能够安全地支持下一代高安全性隔离工作负载,例如处理超个性化数据的AI任务,并提供最高级别的隐私和完整性保障。该认证由Dekra进行,符合EN-17927标准,并包含最高级别的漏洞分析和渗透测试(AVA_VAN.5)。这为Android的多层安全战略奠定了基石,为设备制造商提供了一个开放、高质量的固件基础。
阅读更多
面对日益增长的供应链攻击威胁,Google 推出了 OSS Rebuild 项目,旨在通过重现上游构件来增强对开源软件包生态系统的信任。该项目自动化地为 PyPI、npm 和 Crates.io 等软件包生态系统生成声明式构建定义,并提供 SLSA 证明,满足 SLSA 构建级别 3 的要求,无需发布者干预。OSS Rebuild 还提供构建可观察性和验证工具,以及基础设施定义,方便组织运行自己的实例。通过重建、生成、签名和分发来源,OSS Rebuild 有助于检测未提交的源代码、构建环境泄露和隐蔽的后门等多种供应链攻击,增强软件包的信任,并加速漏洞响应。
阅读更多
谷歌量子人工智能团队的研究表明,拥有百万个噪声量子比特的量子计算机理论上可在一周内破解2048位RSA加密。这比2019年的预测减少了20倍,虽然目前量子计算机的量子比特数只有几百到一千个,但这一发现突显了尽快迁移到后量子密码学(PQC)标准的重要性,以应对未来大规模量子计算的威胁。改进的算法和纠错技术是这一预测更新的关键,这两种技术都显著降低了破解RSA所需的量子比特数量。NIST已经发布了PQC标准,建议在2030年后弃用易受攻击的系统,并在2035年后禁止使用。
阅读更多
随着大型语言模型的兴起,AI供应链安全成为关注焦点。模型篡改、数据投毒等风险日益突出。为此,谷歌携手NVIDIA和HiddenLayer,在Open Source Security Foundation的支持下,发布了模型签名库的第一个稳定版本。该库利用Sigstore等数字签名技术,允许用户验证应用程序使用的模型是否与开发者创建的模型完全一致,从而确保模型的完整性和来源,有效防范模型在训练、存储、部署等环节中的恶意篡改,提升AI应用的安全性。未来,谷歌计划将此技术扩展到数据集和其他ML相关工件,构建更完善的AI信任生态系统。
阅读更多
谷歌发布了实验性AI模型Sec-Gemini v1,旨在推动网络安全AI领域发展。该模型结合了Gemini的先进能力和近乎实时的网络安全知识与工具,在事件根本原因分析、威胁分析和漏洞影响理解等关键网络安全工作流程中表现出色。Sec-Gemini v1在关键网络安全基准测试中超越其他模型,例如在CTI-MCQ基准测试中至少提升11%,在CTI-Root Cause Mapping基准测试中至少提升10.5%。谷歌将向特定组织、机构、专业人士和非政府组织开放Sec-Gemini v1,以促进合作研究,共同推动网络安全AI发展。
阅读更多
谷歌Chrome团队宣布其根程序强制实施两项关键安全措施:多视角发行核实(MPIC)和证书代码检查。MPIC通过从多个地理位置验证域名控制来降低BGP攻击导致证书伪造的风险,而代码检查则自动检测证书错误,提高安全性。这两项措施自2025年3月15日起强制执行,旨在增强网络PKI生态系统的安全性和稳定性,减少证书滥发。Chrome团队还计划淘汰薄弱的域名验证方法,并积极探索后量子密码学时代的安全方案。
阅读更多
数十年来,内存安全漏洞一直是各种安全事件的根源。传统方法已不足以解决问题。本文呼吁从“安全设计”出发,彻底消除此类漏洞。近年来,安全语言(如Rust)和硬件技术(如ARM的MTE)的进步为实现这一目标提供了可能。文章建议建立一个标准框架,客观评估内存安全保障,激励厂商投资并最终使客户能够要求和奖励安全性,从而推动更安全的系统采购。这需要一个技术中立的框架,支持多种方法,并根据需求调整安全要求,最终目标是建立一个安全可靠的数字世界。
阅读更多
Google发布了2024年Google Play安全报告,展示了其在保护用户和开发者方面的努力。通过AI驱动的威胁检测、更严格的隐私政策和开发者工具,Google Play阻止了236万个违规应用发布,封禁了超过15.8万个恶意开发者账户。报告重点介绍了AI在恶意应用检测中的作用,以及与开发者合作加强安全和隐私的措施,例如限制对敏感数据的访问和改进数据删除选项。此外,Google Play Protect 通过实时扫描检测到超过1300万个来自外部的恶意应用,并推出了新的防欺诈功能,保护用户免受网络钓鱼和恶意软件的侵害。Google还与政府和行业伙伴合作,制定了新的应用安全评估标准,共同维护更安全的应用生态系统。
阅读更多
Google发布了OSV-SCALIBR,一个可扩展的软件成分分析(SCA)库,用于扫描已安装软件包、独立二进制文件和源代码中的漏洞。它支持多种编程语言和包管理器,并能生成SBOM(软件物料清单)。OSV-SCALIBR是Google内部使用的主要SCA引擎,现已开源,并计划集成到OSV-Scanner中,为用户提供更强大的命令行界面。
阅读更多
谷歌正在其C++代码库中加强空间内存安全性,以减少漏洞利用。他们通过启用硬化版libc++,为标准C++数据结构添加边界检查,从而消除了一类重要的空间安全漏洞。这已部署到谷歌的服务端生产系统中,包括搜索、Gmail、Drive等关键产品。虽然性能影响平均仅为0.30%,但该改进已阻止了内部红队演习中的漏洞利用,发现了1000多个漏洞,并将生产环境中的段错误率降低了30%。谷歌还致力于将边界检查扩展到其他库,并迁移到安全缓冲区,以进一步提高C++代码的安全性。
阅读更多
本文探讨了如何通过安全编码从源头消除内存安全漏洞。文章指出,尽管转向内存安全语言在短期内可能看起来增加了代码库的复杂性,但长期来看,由于漏洞的指数级衰减,这种转变最终会降低整体安全风险。文中以Android系统为例,展示了转向内存安全语言如何显著降低内存安全漏洞的数量。文章最后总结了安全编码的优势,并展望了未来安全编码在软件开发中的应用。
阅读更多
这篇博文探讨了如何在现有固件代码库中逐步引入Rust,以提高安全性。文章重点介绍了优先替换新代码和安全关键代码,并详细讲解了使用Rust替换C代码的步骤,包括创建Rust shim、处理与C/C++代码的交互、连接固件的裸机环境、构建优化等方面。文章还提供了一些实用的技巧和注意事项,例如如何选择合适的Rust库、如何将std库移植到no_std环境、如何处理内存分配和恐慌等。
阅读更多
由于 Entrust 公司在过去几年中多次违反安全和合规要求,谷歌 Chrome 浏览器将从 2024 年 11 月 1 日起,不再信任由 Entrust 颁发的 TLS 服务器身份验证证书。受影响的网站运营商需要在 2024 年 10 月 31 日之前更换新的证书颁发机构,以避免网站访问中断。
阅读更多