Google SLSA, el marcho de trabajo end-to-end para la integridad de la cadena de suministro
- Actualidad
Google SLSA, o Supply chain Levels for Software Artifacts, busca asegurar la integridad de los componentes a través de la cadena de suministro de software.
Recomendados: Anatomía del ataque a una cuenta privilegiada Leer Seis razones para proteger Salesforce con una solución de terceros Leer |
Asegurando que los ataques contra la integridad de la cadena de suministro con modificaciones no autorizadas a los paquetes de software han estado creciendo en los últimos dos años, y que se ha convertido en un vector de ataque que afecta a todos los consumidores de software, Google lanzaba esta semana Supply chain Levels for Software Artifacts (SLSA), un marco de trabajo end-to-end para garantizar esa cadena de suministro.
A través de un post la compañía explica que el desarrollo de software y su despliegue en la cadena de suministro es complicado y tiene numerosas amenazas a lo largo del flujo de trabajo. “Si bien existen soluciones puntuales para algunas vulnerabilidades específicas, no existe un marco integral de extremo a extremo que defina cómo mitigar las amenazas en toda la cadena de suministro de software y proporcione garantías de seguridad razonables”, asegura Google añadiendo que existe una necesidad urgente de encontrar una solución frente a ataques como el de SolarWinds o Codecov.
Pronunciado “salsa”, SLSA se inspira en el proceso interno de revisión de código de Google conocido como BAB, o Binary Authorization for Borg, que la compañía utiliza desde hace más de ocho años y es obligatorio para todas las cargas de trabajo de producción.
En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria. En su forma final, SLSA se diferenciará de una lista de mejores prácticas en su aplicabilidad: apoyará la creación automática de metadatos auditables que se pueden introducir en motores de políticas para otorgar "certificación SLSA" a un paquete o plataforma de compilación en particular. Asegura también la compañía que SLSA está diseñado para ser incremental y procesable, y para brindar beneficios de seguridad en cada paso. “Una vez que un artefacto califica al más alto nivel, los consumidores pueden tener la confianza de que no ha sido manipulado y se puede rastrear de manera segura hasta el origen, algo que es difícil, si no imposible, de hacer con la mayoría del software actual”, aseguran en el post.