A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável
À medida que os ataques à cadeia de suprimentos de software surgem como um ponto de preocupação após os incidentes de segurança do SolarWinds e Codecov , o Google está propondo uma solução para garantir a integridade dos pacotes de software e evitar modificações não autorizadas.
Chamado de “Níveis da cadeia de suprimentos para artefatos de software ” (SLSA, e pronuncia-se “salsa”), a estrutura de ponta a ponta visa proteger o desenvolvimento de software e pipeline de implantação – ou seja, o fluxo de trabalho de origem source construir flow publicar – e mitigar ameaças que surgem da adulteração do código-fonte, da plataforma de construção e do repositório de artefatos em cada elo da cadeia.
O Google disse que o SLSA é inspirado no mecanismo de aplicação interno da própria empresa chamado Binary Authorization for Borg , um conjunto de ferramentas de auditoria que verifica a proveniência do código e implementa a identidade do código para verificar se o software de produção implantado foi devidamente revisado e autorizado.
“Em seu estado atual, o SLSA é um conjunto de diretrizes de segurança adotáveis gradativamente estabelecidas por consenso da indústria”, disse Kim Lewandowski, da equipe de segurança de código aberto do Google, e Mark Lodato, da equipe de autorização binária da Borg.
“Em sua forma final, o SLSA será diferente de uma lista de melhores práticas em sua aplicabilidade: ele suportará a criação automática de metadados auditáveis que podem ser alimentados em mecanismos de política para fornecer ‘certificação SLSA’ a um pacote ou plataforma de construção em particular.”
A estrutura SLSA promete integridade de ponta a ponta da cadeia de suprimentos de software e é projetada para ser incremental e acionável. Ele compreende quatro níveis diferentes de sofisticação progressiva de segurança de software, com o SLSA 4 oferecendo um alto grau de confiança de que o software não foi corrigido incorretamente.
SLSA 1 – Requer que o processo de construção seja totalmente programado / automatizado e gere proveniência
SLSA 2 – Requer o uso de controle de versão e um serviço de compilação hospedado que gera proveniência autenticada
SLSA 3 – Requer que as plataformas de origem e construção atendam a padrões específicos para garantir a auditabilidade da origem e a integridade da procedência
SLSA 4 – Requer uma revisão de duas pessoas de todas as alterações e um processo de construção hermético e reproduzível
“Níveis mais altos de SLSA exigem controles de segurança mais fortes para a plataforma de construção, tornando mais difícil comprometer e ganhar persistência”, observaram Lewandowski e Lodato.
Embora o SLA 4 represente o estado final ideal, os níveis mais baixos fornecem garantias de integridade incrementais, ao mesmo tempo que torna difícil para os agentes mal-intencionados permanecerem ocultos em um ambiente de desenvolvedor violado por longos períodos de tempo.
Junto com o anúncio, o Google compartilhou detalhes adicionais sobre as Fonte e Envergadura requisitos que precisam ser satisfeitas, e também está convocando a indústria para padronizar o sistema e definir um modelo de ameaça que as esperanças ameaças detalhes específicos SLSA para endereço no longo prazo .
“Alcançar o nível mais alto de SLSA para a maioria dos projetos pode ser difícil, mas melhorias incrementais reconhecidas por níveis mais baixos de SLSA já contribuirão muito para melhorar a segurança do ecossistema de código aberto”, disse a empresa.
Fonte: The Hackers News
Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”
Artificial Intelligence, Facial Recognition Face Curbs in New EU Proposal
