? medida que a complexidade do software continua a crescer, proteger-se do vetor de amea?as de depend¨ºncias de software torna-se cada vez mais desafiador. N¨ªveis de Cadeia de Fornecimento para Artefatos de Software (Supply chain Levels for Software Artifacts, em ingl¨ºs), ou (pronuncia-se "salsa"), ¨¦ uma curadoria de orienta??es para ajudar as organiza??es a se protegerem de ataques ¨¤ cadeia de fornecimento, e uma evolu??o do conjunto de orienta??es interno que o Google vem usando h¨¢ anos. Apreciamos que SLSA n?o promete uma abordagem "bala de prata" baseada apenas em ferramentas para proteger a cadeia de fornecimento, mas prov¨º uma lista de verifica??o de amea?as e pr¨¢ticas concretas junto a um modelo de maturidade. O ¨¦ f¨¢cil de seguir com exemplos reais de ataques e os fornecem orienta??es para ajudar as organiza??es a priorizar a??es com base em n¨ªveis de robustez crescentes para melhorar sua postura de seguran?a na cadeia de fornecimento. Desde que inclu¨ªmos pela primeira vez no Radar, SLSA adicionou mais detalhes sobre com exemplos para rastrear preocupa??es como . Nossos times conclu¨ªram que SLSA consegue um bom equil¨ªbrio entre a orienta??o para implementa??o e a conscientiza??o de alto n¨ªvel sobre as amea?as da cadeia de fornecimento.
? medida que o software continua a crescer em complexidade, proteger o vetor de amea?as de depend¨ºncias de software se torna cada vez mais desafiador. A recente vulnerabilidade do Log4J mostrou o qu?o dif¨ªcil pode ser at¨¦ mesmo conhecer essas depend¨ºncias ¡ª muitas empresas que n?o usavam o Log4J diretamente estavam inadvertidamente vulner¨¢veis ??simplesmente porque outros softwares em seu ecossistema dependiam do mesmo. Supply-chain Levels for Software Artifacts, ou (pronuncia-se "salsa"), ¨¦ um conjunto de orienta??es selecionadas por um cons¨®rcio para que as organiza??es se protejam contra ataques em cadeias de fornecimento, desenvolvido a partir de orienta??es internas que o Google vem usando h¨¢ anos. Apreciamos o fato de SLSA n?o prometer uma abordagem "bala de prata" limitada a ferramentas para proteger a cadeia de fornecimento, em vez disso, fornecendo uma lista de verifica??o de amea?as e pr¨¢ticas concretas ao longo de um modelo de maturidade. O ¨¦ f¨¢cil de seguir com exemplos reais de ataques e os fornecem orienta??es para ajudar as organiza??es a priorizar a??es com base em n¨ªveis de robustez crescente para melhorar sua postura de seguran?a da cadeia de fornecimento. Acreditamos que SLSA fornece recomenda??es aplic¨¢veis ??e esperamos que mais organiza??es aprendam com o conjunto.
