Google SLSA, el marcho de trabajo end-to-end para la integridad de la cadena de suministro

  • Actualidad

Google SLSA, o Supply chain Levels for Software Artifacts, busca asegurar la integridad de los componentes a través de la cadena de suministro de software.

Recomendados: 

Anatomía del ataque a una cuenta privilegiada Leer

Seis razones para proteger Salesforce con una solución de terceros Leer 

Asegurando que los ataques contra la integridad de la cadena de suministro con modificaciones no autorizadas a los paquetes de software han estado creciendo en los últimos dos años, y que se ha convertido en un vector de ataque que afecta a todos los consumidores de software, Google lanzaba esta semana Supply chain Levels for Software Artifacts (SLSA), un marco de trabajo end-to-end para garantizar esa cadena de suministro.

A través de un post la compañía explica que el desarrollo de software y su despliegue en la cadena de suministro es complicado y tiene numerosas amenazas a lo largo del flujo de trabajo. “Si bien existen soluciones puntuales para algunas vulnerabilidades específicas, no existe un marco integral de extremo a extremo que defina cómo mitigar las amenazas en toda la cadena de suministro de software y proporcione garantías de seguridad razonables”, asegura Google añadiendo que existe una necesidad urgente de encontrar una solución frente a ataques como el de SolarWinds o Codecov.

Pronunciado “salsa”, SLSA se inspira en el proceso interno de revisión de código de Google conocido como BAB, o Binary Authorization for Borg, que la compañía utiliza desde hace más de ocho años y es obligatorio para todas las cargas de trabajo de producción.

En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria. En su forma final, SLSA se diferenciará de una lista de mejores prácticas en su aplicabilidad: apoyará la creación automática de metadatos auditables que se pueden introducir en motores de políticas para otorgar "certificación SLSA" a un paquete o plataforma de compilación en particular. Asegura también la compañía que SLSA está diseñado para ser incremental y procesable, y para brindar beneficios de seguridad en cada paso. “Una vez que un artefacto califica al más alto nivel, los consumidores pueden tener la confianza de que no ha sido manipulado y se puede rastrear de manera segura hasta el origen, algo que es difícil, si no imposible, de hacer con la mayoría del software actual”, aseguran en el post.