Google está trabajando en una solución para ayudar a mitigar el creciente número de ataques a la cadena de suministro de software..
¿Qué son los niveles de la cadena de suministro para los artefactos de software? (SLSA)?
Niveles de cadena de suministro denominados para artefactos de software, o SLSA para abreviar, la solución es un marco de trabajo de un extremo a otro que garantiza la integridad de los artefactos de software en toda la cadena de suministro. La solución está inspirada en la "Autorización binaria para Borg,"Una verificación de cumplimiento específica que reduce el riesgo de información privilegiada al garantizar que el software de producción implementado en Google se revise y autorice correctamente.
“El objetivo de SLSA es mejorar el estado de la industria, particularmente de código abierto, para defenderse de las amenazas a la integridad más urgentes. Con SLSA, los consumidores pueden tomar decisiones informadas sobre la postura de seguridad del software que consumen,"Google explicó en su blog de seguridad.
La idea del marco es proteger contra ataques comunes a la cadena de suministro.. La solución consta de cuatro niveles, donde SLSA 5 representa "el estado final ideal". Los niveles inferiores simbolizan hitos incrementales con las correspondientes garantías de integridad incrementales.:
- SLSA 1 requiere que el proceso de construcción esté completamente programado / automatizado y genere procedencia;
- SLSA 2 requiere el uso de control de versiones y un servicio de compilación alojado que genera una procedencia autenticada;
- SLSA 3 requiere además que la fuente y las plataformas de construcción cumplan con estándares específicos para garantizar la auditabilidad de la fuente y la integridad de la procedencia, respectivamente;
- SLSA 4 es actualmente el nivel más alto, requiriendo una revisión de dos personas de todos los cambios y un hermético, proceso de construcción reproducible.
Prueba de concepto también disponible
Google también ha lanzado una prueba de concepto para SLSA 1 generador de procedencia, permitiendo así a los usuarios crear y cargar la procedencia junto con sus artefactos de construcción.
En el futuro, la empresa planea trabajar con una fuente popular, construir, y plataformas de empaque "para que sea lo más fácil posible alcanzar niveles más altos de SLSA".
En conclusión, SLSA es un marco eficiente destinado a la integridad de la cadena de suministro de software de un extremo a otro. La solución se basa en un modelo que ha tenido éxito en una de las organizaciones de ingeniería de software más grandes., Google anotó.
Hace unos días, Google hizo otro anuncio importante con respecto a cifrado del lado del cliente para su espacio de trabajo de Google, anteriormente conocido como G Suite. Esta última característica de seguridad brindará a sus clientes empresariales el control directo de las claves de cifrado y el servicio de identidad que seleccionan para acceder a las claves..
El cifrado del lado del cliente hace que los datos del cliente sean indescifrables para Google. Por supuesto, los clientes aún podrán utilizar la colaboración nativa basada en la web de la empresa, acceder al contenido en dispositivos móviles, y compartir archivos cifrados externamente.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: