Como los ataques de la cadena de suministro de software emergen como un punto de preocupación a raíz de SolarWinds y Codecov incidentes de seguridad, Google propone una solución para garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas.
Llamado » Niveles de cadena de suministro para artefactos de software » (SLSA, y se pronuncia «salsa»), el marco de un extremo a otro tiene como objetivo asegurar el desarrollo y la implementación de software, es decir, el flujo de trabajo de origen, compilación, publicación, y mitigar las amenazas que surgen de la manipulación del código fuente, la plataforma de compilación y el repositorio de artefactos en cada eslabón de la cadena.
Google dijo que SLSA está inspirado en el propio mecanismo de ejecución interno de la compañía llamado Autorización Binaria para Borg , un conjunto de herramientas de auditoría que verifica la procedencia del código e implementa la identidad del código para asegurarse de que el software de producción implementado esté debidamente revisado y autorizado.
«En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria», dijo Kim Lewandowski del equipo de seguridad de código abierto de Google y Mark Lodato del equipo de autorización binaria para Borg.
«En su forma final, SLSA se diferenciará de una lista de mejores prácticas en su aplicabilidad: apoyará la creación automática de metadatos auditables que se pueden introducir en motores de políticas para otorgar ‘certificación SLSA’ a un paquete o plataforma de compilación en particular».
El marco SLSA promete integridad de la cadena de suministro de software de un extremo a otro y está diseñado para ser incremental y procesable. Comprende cuatro niveles diferentes de sofisticación de seguridad de software progresiva, y SLSA 4 ofrece un alto grado de confianza en que el software no ha sido manipulado incorrectamente.
- SLSA 1 : requiere que el proceso de construcción esté completamente programado / automatizado y genere procedencia
- SLSA 2 : requiere el uso de control de versiones y un servicio de compilación alojado que genera procedencia autenticada
- SLSA 3 – Requiere que la fuente y las plataformas de construcción cumplan con estándares específicos para garantizar la auditabilidad de la fuente y la integridad de la procedencia.
- SLSA 4 : requiere una revisión de dos personas de todos los cambios y un proceso de construcción hermético y reproducible
- «Los niveles más altos de SLSA requieren controles de seguridad más estrictos para la plataforma de compilación, lo que hace más difícil comprometer y ganar persistencia», señalaron Lewandowski y Lodato.
Si bien el SLA 4 representa el estado final ideal, los niveles inferiores brindan garantías de integridad incrementales, al mismo tiempo que dificultan que los actores malintencionados permanezcan ocultos en un entorno de desarrollador vulnerado durante períodos prolongados.
Junto con el anuncio, Google ha compartido detalles adicionales sobre los requisitos de origen y compilación que deben cumplirse, y también pide a la industria que estandarice el sistema y defina un modelo de amenazas que detalle las amenazas específicas que SLSA espera abordar a largo plazo. .
«Alcanzar el nivel más alto de SLSA para la mayoría de los proyectos puede ser difícil, pero las mejoras incrementales reconocidas por niveles más bajos de SLSA ya contribuirán en gran medida a mejorar la seguridad del ecosistema de código abierto», dijo la compañía.
