Google rilascia un framework per prevenire gli attacchi alla supply chain.


Poiché gli attacchi alla catena di fornitura del software emergono come un punto critico a seguito degli incidenti di sicurezza come SolarWinds e Codecov, Google propone una soluzione per garantire l'integrità dei pacchetti software e prevenire modifiche non autorizzate.



Chiamato "Supply chain Levels for Software Artifacts" (SLSA, e pronunciato "salsa"), il framework end-to-end mira a proteggere la pipeline di sviluppo e distribuzione del software, ovvero il flusso di lavoro del codice sorgente e la sua creazione e pubblicazione, e mitigare le minacce che derivano dalla manomissione del codice sorgente, della piattaforma di compilazione e del repository degli artefatti in ogni anello della sua catena.


Google ha affermato che SLSA si ispira al meccanismo di applicazione interno dell'azienda chiamato Binary Authorization for Borg , un insieme di strumenti di auditing che verificano la provenienza del codice e implementa l'identità del codice per accertare che il software di produzione distribuito sia adeguatamente rivisto e autorizzato.

"Nel suo stato attuale, SLSA è un insieme di linee guida di sicurezza adottabili in modo incrementale, stabilite dai consensi del settore"


hanno affermato Kim Lewandowski del Google Open Source Security Team e Mark Lodato del Binary Authorization for Borg Team.

"Nella sua forma, SLSA differisce da un elenco di best practices di applicabilità: supporterà la creazione automatica di metadati verificabili che