O Google está trabalhando em uma solução para ajudar a mitigar o número crescente de ataques à cadeia de suprimentos de software.
O que são os níveis da cadeia de suprimentos para artefatos de software (SLSA)?
Chamados de níveis de cadeia de suprimentos para artefatos de software, ou SLSA para breve, a solução é uma estrutura ponta a ponta que garante a integridade dos artefatos de software em toda a cadeia de abastecimento. A solução é inspirada na “Autorização binária para Borg interna do Google,”Uma verificação de aplicação específica que reduz o risco interno, garantindo que o software de produção implantado no Google seja devidamente revisado e autorizado.
“O objetivo da SLSA é melhorar o estado da indústria, particularmente de código aberto, para se defender contra as ameaças de integridade mais urgentes. Com SLSA, os consumidores podem fazer escolhas informadas sobre a postura de segurança do software que consomem,”O Google explicou em seu blog de segurança.
A ideia da estrutura é proteger contra ataques comuns à cadeia de abastecimento. A solução consiste em quatro níveis, onde SLSA 5 representa “o estado final ideal”. Os níveis mais baixos simbolizam marcos incrementais com garantias de integridade incrementais correspondentes:
- SLSA 1 requer que o processo de construção seja totalmente programado / automatizado e gere proveniência;
- SLSA 2 requer o uso de controle de versão e um serviço de compilação hospedado que gera proveniência autenticada;
- SLSA 3 requer ainda que as plataformas de origem e construção atendam a padrões específicos para garantir a auditabilidade da origem e a integridade da proveniência, respectivamente;
- SLSA 4 atualmente é o nível mais alto, exigindo revisão de duas pessoas de todas as mudanças e uma avaliação hermética, processo de construção reproduzível.
Prova de conceito também disponível
O Google também lançou uma prova de conceito para SLSA 1 gerador de proveniência, permitindo assim que os usuários criem e carreguem proveniência junto com seus artefatos de construção.
No futuro, a empresa planeja trabalhar com fonte popular, Construir, e plataformas de empacotamento “para tornar o mais fácil possível alcançar níveis mais altos de SLSA”.
Em conclusão, SLSA é uma estrutura eficiente voltada para integridade da cadeia de suprimentos de software de ponta a ponta. A solução é baseada em um modelo de sucesso em uma das maiores organizações de engenharia de software, Google notou.
Alguns dias atrás, O Google fez outro anúncio importante sobre criptografia do lado do cliente para seu Google Workspace, anteriormente conhecido como G Suite. Este último recurso de segurança dará aos seus clientes corporativos o controle direto das chaves de criptografia e do serviço de identidade que eles selecionam para acessar as chaves.
A criptografia do lado do cliente torna os dados do cliente indecifráveis para o Google. Claro, os clientes ainda poderão usar a colaboração baseada na web nativa da empresa, acessar conteúdo em dispositivos móveis, e compartilhar arquivos criptografados externamente.