TecNoticias, tu portal de información

Google ha presentado un nuevo marco llamado Niveles de cadena de suministro para artefactos de software, o SLSA (pronunciado "salsa").

La intención de SLSA es ayudar a prevenir el creciente número de ataques devastadores a la cadena de suministro en los últimos años, como los ataques de SolarWinds y CodeCov.

Google describe SLSA como "un marco integral para garantizar la integridad de los artefactos de software en toda la cadena de suministro de software".

La compañía dice que SLSA se inspira en su propia “Autorización binaria para Borg” interna que Google ha utilizado durante más de 8 años y es obligatoria para todas sus cargas de trabajo de producción.

Google usó la siguiente imagen para resaltar todas las formas en que los atacantes podrían comprometer una cadena de suministro típica en cualquier momento:

SLSA es actualmente un conjunto de pautas de mejores prácticas a seguir, pero en su "forma final" apoyará la creación automática de metadatos auditables que se pueden introducir en los motores de políticas para otorgar la "certificación SLSA" a un paquete o plataforma de compilación en particular.

Hay cuatro niveles actuales de SLSA de medidas incrementales para aumentar la seguridad de una cadena de suministro. Para SLSA 4, se requiere una revisión de dos personas de todos los cambios y un proceso de construcción hermético y reproducible.

“Lograr el nivel más alto de SLSA para la mayoría de los proyectos puede ser difícil, pero las mejoras incrementales reconocidas por niveles más bajos de SLSA ya contribuirán en gran medida a mejorar la seguridad del ecosistema de código abierto”, escribió Google en una publicación de blog.

Los detalles completos del marco SLSA se pueden encontrar a través de su repositorio de GitHub.

(Foto de Erik Mclean en Unsplash)

¿Quiere aprender sobre DevOps de parte de los líderes en el espacio? Consulte la Cumbre DevOps-as-a-Service, que tendrá lugar el 7 de octubre de 2022, donde los asistentes conocerán los beneficios de crear colaboración y asociaciones en la entrega.
Etiquetas: codecov, ciberseguridad, desarrollador, desarrollo, destacado, marco, google, infosec, seguridad, slsa, solarwinds, ataque a la cadena de suministro