NEW!Increibles ofertas a nuestros lectores en consultoria y auditoría! Read More

NewsSecurity

Google lanza un nuevo Framework para prevenir Supply Chain Attacks

2 Mins read

A medida que los ataques a la cadena de suministro de software surgen como un punto de preocupación a raíz de los incidentes de seguridad de SolarWinds y Codecov, Google propone una solución para garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas.

Llamado “Supply chain Levels for Software Artifacts” (SLSA, y se pronuncia “salsa”), el marco de un extremo a otro tiene como objetivo asegurar el desarrollo y la implementación de software, es decir, el flujo de trabajo de origen, compilación, publicación, y mitigar las amenazas que surgen de la manipulación del código fuente, la plataforma de compilación y el repositorio de artefactos en cada eslabón de la cadena.

Google dijo que SLSA está inspirado en el propio mecanismo de aplicación interno de la compañía llamado Autorización Binaria para Borg, un conjunto de herramientas de auditoría que verifica la procedencia del código e implementa la identidad del código para asegurarse de que el software de producción implementado esté debidamente revisado y autorizado.

“En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria”, dijo Kim Lewandowski del equipo de seguridad de código abierto de Google y Mark Lodato de la autorización binaria para el equipo Borg.

“En su forma final, SLSA se diferenciará de una lista de mejores prácticas en su aplicabilidad: apoyará la creación automática de metadatos auditables que se pueden introducir en motores de políticas para otorgar ‘certificación SLSA’ a un paquete o plataforma de compilación en particular”.

El marco SLSA promete integridad de la cadena de suministro de software de un extremo a otro y está diseñado para ser tanto incremental como procesable. Comprende cuatro niveles diferentes de sofisticación de seguridad de software progresiva, y SLSA 4 ofrece un alto grado de confianza en que el software no ha sido manipulado incorrectamente.

  • SLSA 1: requiere que el proceso de construcción esté completamente programado / automatizado y genere procedencia
  • SLSA 2: requiere el uso de control de versiones y un servicio de compilación alojado que genera procedencia autenticada
  • SLSA 3 – Requiere que la fuente y las plataformas de construcción cumplan con estándares específicos para garantizar la auditabilidad de la fuente y la integridad de la procedencia.
  • SLSA 4: requiere una revisión de dos personas de todos los cambios y un proceso de construcción hermético y reproducible

“Los niveles más altos de SLSA requieren controles de seguridad más estrictos para la plataforma de construcción, lo que hace que sea más difícil comprometer y ganar persistencia”, señalaron Lewandowski y Lodato.

Si bien el SLA 4 representa el estado final ideal, los niveles inferiores brindan garantías de integridad incrementales, al mismo tiempo que dificultan que los actores malintencionados permanezcan ocultos en un entorno de desarrollador vulnerado durante períodos de tiempo prolongados.

Junto con el anuncio, Google ha compartido detalles adicionales sobre los requisitos de origen y compilación que deben cumplirse, y también pide a la industria que estandarice el sistema y defina un modelo de amenazas que detalle las amenazas específicas que SLSA espera abordar a largo plazo. .

“Lograr el nivel más alto de SLSA para la mayoría de los proyectos puede ser difícil, pero las mejoras incrementales reconocidas por niveles más bajos de SLSA ya contribuirán en gran medida a mejorar la seguridad del ecosistema de código abierto”, dijo la compañía.

Fuente: The Hacker News

Related posts
NewsSecurity

Microsoft lanza inicio de sesión passwordless para todas las cuentas de Microsoft

2 Mins read
Microsoft está implementando soporte de inicio de sesión sin contraseña durante las próximas semanas, lo que permitirá a los clientes iniciar sesión…
NewsSecurity

Microsoft lanza un parche para un zero day de Windows

2 Mins read
Un día después de que Apple y Google implementaron actualizaciones de seguridad urgentes, Microsoft impulsó correcciones de software como parte de su…
NewsSecurity

WhatsApp permitirá cifrar copias de seguridad en la nube

3 Mins read
WhatsApp implementará soporte para copias de seguridad de chat encriptadas de extremo a extremo en la nube para usuarios de Android e…

Leave a Reply

Your email address will not be published. Required fields are marked *