As¨ª como el software sigue creciendo en complejidad, la cantidad de amenazas en las dependencias de software se vuelve cada vez m¨¢s dif¨ªcil de proteger. Los niveles de la cadena de suministro para artefactos de software, Supply chain Levels for Software Artifacts o (pronunciado "salsa"), es un conjunto de gu¨ªas seleccionadas por un consorcio para que las organizaciones se protejan contra los ataques a la cadena de suministro, gu¨ªas que evolucionaron gracias a la direcci¨®n interna que Google ha estado utilizando durante a?os. Apreciamos que SLSA no se comprometa con una "bala de plata", es decir, un enfoque de solo herramientas para proteger la cadena de suministro, sino que proporciona una lista de verificaci¨®n de amenazas y pr¨¢cticas concretas a lo largo de un modelo de madurez. El es f¨¢cil de seguir con ejemplos de ataques del mundo real y los brindan orientaci¨®n para ayudar a las organizaciones a priorizar acciones en funci¨®n de los niveles de una robustez creciente para mejorar su posici¨®n de seguridad en la cadena de suministro. Desde que lo mencionamos por primera vez en el Radar, SLSA ha agregado m¨¢s detalles sobre con ejemplos para rastrear inquietudes como la . Nuestros equipos han encontrado que SLSA logra un buen equilibrio entre asistencia de implementaci¨®n y la conciencia de alto nivel sobre las amenazas alrededor de la cadena de suministro.
A medida que el software contin¨²a aumentando en complejidad, el vector de ataque a trav¨¦s de dependencias de software se convierte en algo cada vez m¨¢s dif¨ªcil contra lo que protegerse. La reciente vulnerabilidad de Log4J nos mostr¨® c¨®mo de dif¨ªcil puede ser incluso conocer esas dependencias ¡ª muchas compa?¨ªas que no usaban Log4J directamente fueron vulnerables sin saberlo solo por el hecho de que otro software en su ecosistema depend¨ªa de esta librer¨ªa. Supply chain Levels for Software Artifacts, o (pronunciado "salsa"), es un conjunto de gu¨ªas curadas por un consorcio para que las organizaciones se protejan de ataques contra la cadena de suministro, ha sido evolucionado a partir de las gu¨ªas internas que Google ha estado usando por a?os. Apreciamos que SLSA no promete una ¡°bala de plata¡± con un enfoque centrado en herramientas para proteger la cadena de suministro, sino que proporciona una lista de amenazas concretas y pr¨¢cticas junto con un modelo de madurez. El es f¨¢cil de entender ya que cuenta con ejemplos reales de ataques, y los proveen una gu¨ªa para ayudar a las organizaciones a priorizar acciones basadas en niveles incrementales de robustez para mejorar su postura de seguridad en la cadena de suministro. Creemos que SLSA provee consejos aplicables y esperamos que m¨¢s organizaciones aprendan de ello.
