Google lanza SLSA, un nuevo marco para el suministro …



Los «Niveles de la cadena de suministro para artefactos de software program» tienen como objetivo garantizar la integridad de los componentes a lo largo de la cadena de suministro de application.

Esta semana, Google presentó los niveles de la cadena de suministro para artefactos de program (SLSA), un marco de trabajo de un extremo a otro para garantizar la integridad de los artefactos de software en toda la cadena de suministro de software program.

SLSA, que se pronuncia «salsa», se inspira en la «Autorización binaria para Borg» (BAB) interna de Google, proceso de revisión de código que tiene como objetivo reducir el riesgo de información privilegiada al garantizar que el software program de producción implementado en Google sea revisado y autorizado, especialmente si puede acceder a los datos del usuario. Google ha utilizado BAB durante más de ocho años y es obligatorio para todas las cargas de trabajo de producción.

El objetivo de SLSA es ayudar a defenderse de los ataques a la integridad de la cadena de suministro que, según Google, han aumentado en los últimos dos años. Tras ataques como los contra SolarWinds y Codecov, Google señala la necesidad de un marco para asegurar una cadena de suministro compleja.

«En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria», escribieron Kim Lewandowski del equipo de seguridad de código abierto de Google, y Mark Lodato del equipo de autorización binaria para Borg, en una publicación de site.

Su forma final será diferente de una lista de mejores prácticas, anotaron. SLSA «apoyará la creación automática de metadatos auditables», que pueden introducirse en motores de políticas para otorgar «certificación SLSA» a un paquete o plataforma de compilación.

SLSA está diseñado para ser incremental y procesable, explicaron Lewandowsi y Lodato. Constará de cuatro niveles, con el nivel cuatro indicando el estado ideal. Los niveles más bajos representan garantías incrementales de integridad de la seguridad. En el nivel cuatro, los consumidores tienen una mayor seguridad de que el código no ha sido manipulado y se puede rastrear de forma segura hasta su origen.

Leer de Google publicación de weblog completa para más información.

Rapid Hits de Darkish Looking at ofrece una breve sinopsis y un resumen de la importancia de los eventos de noticias de última hora. Para obtener más información de la fuente unique de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original