Ref: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html

今天要探討的是一個由 Google Blog 於上個月所推廣的軟體安全性框架，該框架名為 SLSA，全名則是 Supply Chain Levels for Software Artifacts，中文部分我不知道該怎麼翻譯才可以精準達到意思，所以建議就唸英文就好了。

該框架的目的是希望於整個軟體生產鏈中能夠進一步的去提升且確保所有產物的完整性(Integrity 這個詞該怎麼翻呢..)。

文章中用了一個很簡易的流程來清楚的解釋到底何謂 Software Supply Chain 以及整個流程中可能會有什麼問題。

Software Supply Chain 一個範例譬如
1. 開發者撰寫程式碼，並且提交到遠方的 SCM Repository
2. SCM Repo 因為程式碼改變，所以觸發相關的 CI/CD 流程
3. CI/CD 建置結束後則需要打包整個程式碼，產生最後的 Package.
4. 產生後的 Packet 則可以正式上場使用

文章認為上述的流程中有兩個不同類別的安全性問題，分別是
1. Source Integrity
2. Build Integrity.

Source Integrity 這邊主要是針對 Source Code 相關的問題，譬如
1. 開發者是否有意的故意塞入一些會不懷好意的程式碼到 SCM Repo 內。
範例: Linux Hypocrite commits, 之前美國某大學研究團隊基於研究嘗試上傳一些不太好的程式碼而影響的討論風波
2. SCM 的管理平台是否可能被惡意攻擊
範例: PHP 事件: 之前自架的 PHP Git Server 被攻擊者惡意攻擊並且塞入兩筆不懷好意的 Commit

而 Build Integrity 本身則是有更多不同的面向，譬如
1. SCM 觸發 CI/CD 過程是否有可能有問題
範例: Webmin 事件，攻擊者去修改團隊的建置系統去使用沒有被 SCM 所記錄的修改檔案。
2. CI/CD 建置系統本身被攻擊
範例: SolarWinds 事件，攻擊者攻破建置系統去安裝一些軟體來修改整的建置流程
3. CI/CD 建置過程中引用到錯誤的 Dependency
4. 攻擊者上傳一些惡意產物到應該只有 CI/CD 系統才可以存取的場所。
... 等

目前來說， SLSA 還處於非常早期階段，經由業界的共識來思考每個領域有什麼好的措施與指引來避免與偵測系統是否被攻破。其最終目標狀態是希望能夠根據環境自動產生出一套可整合到系統中的產物，並且最後可以給出 SLSA 憑證來給平台或是建置後的 Package。

對 SLSA 這個專案有興趣看看的請參考原始連結，內容不長但是頗有趣的

【從 teradata 到 BigQuery】美國職棒大聯盟資料倉儲搬遷實錄

#搬遷背景
美國職棒大聯盟 (MLB) 過去打造的 data pipeline 在建置時並沒有要做大數據分析的預期，所以多數對模型而言並不適用。存放於 teradata 中的資料也無法直接讓 30 支球隊存取，必須將資料複製到雲端上的 30 個獨立資料夾，讓球隊各自存取，球隊亦無法雙向向聯盟回饋數據，下述種種阻礙迫使 MLB 必須改變：

1⃣ 購退票、轉賣票券等行為導致已備份的歷史資料仍頻繁異動，需不斷再更新。
2⃣ 若分享的資料要新增欄位或改變格式，歷史資料需重新複製。
3⃣ 球隊須設定資料更新的通知，否則不會發現。
4⃣ 無法及時分享資料，頂多每五分鐘更新一次。
5⃣ 目標是提供具商業價值的分析給 MLB 跟球隊，但花費大量時間處理備份事宜。
6⃣ 當 MLB 開始尋找新的 BI 平台，發現既有倉儲和第三方工具整合有限。

#搬遷Tips
💡 新專案直接在 BigQuery 上開案。
💡 在 dependency graph 中找出 table 與 ETL jobs 間的關連，從關聯較少的開始搬遷。
💡 搬遷過程中，在 BigQuery 即時產生 teradata ETL 的副本，資料即時程度在 1 分鐘內，讓數據團隊可及早在 BigQuery 上使用資料。
💡 可在 GCP Marketplace 使用 #第三方轉譯器工具 CompilerWorks：自動化且正確地將 teradata SQL 轉換成 BigQuery SQL。
💡 ETL 搬遷的邏輯驗證可在 BigQuery 中完成。

#BigQuery解放MLB技術能量
✅ 球隊、聯盟員工存取同一份資料，MLB 無需處理歷史資料異動時，備份更新的問題。
✅ 性能與效率：大型查詢時間減少 50％。
✅ 完善資安功能：G Suite 提供身份驗證功能，Google Cloud IAM 負責處理權限控管。
✅ 友善體驗：Console 和 BigQuery API 極易上手，入門門檻低。
✅ 靈活性、降低成本：允許按需求量收費，不必承諾使用量，以便逐步上線。支援自動備份、自動擴展。

▎報名收看 Google 官方中文演講場次：https://bit.ly/2ZMYzv5
▎Next OnAir Week 1 精華整理：https://bit.ly/3jpSwnU
#GoogleCloud #NextOnAir #NextRecap
#iKalaCloud #數位轉型就找iKala

--課程已於 2017 年 7 月更新--

Udemy 上最受歡迎的 Angular 4 課程，有 8 萬多人參加

透過這堂課你會學到：

1. Angular 使用哪種架構
2. 如何使用 TypeScript 來寫 Angular 應用程式
3. 所有關於指令和組件，包括建立自定的指令/組件
4. 資料綁定如何運作
5. 所有關於路由和瀏覽處理
6. 什麼是 Pipes，如何使用它們
7. 如何訪問 Web（例如RESTful服務器）
8. 什麼是 dependency injection，如何使用它
9. 如何使用 Angular 的模組
10. 如何優化你（較大的）Angular 應用程式
11. 我們將在這個課程中建立一個重大專案

>網頁中附有將英文字幕自動轉換為中文字幕 how-to

https://softnshare.wordpress.com/2017/03/28/angular4/