Llegamos a ustedes gracias a:



Noticias

La OpenSSF publica el marco SLSA v1.0

Y añade pistas específicas para la cadena de suministro de software

[20/04/2023] La Open Source Security Foundation (OpenSSF) ha anunciado el lanzamiento de Supply-chain Levels for Software Artifacts (SLSA) v.1.0 con cambios en la estructura diseñados para hacer el marco de seguridad de la cadena de suministro de software más accesible y específico para áreas individuales del ciclo de vida de entrega del software.

SLSA es un proyecto de normas de seguridad de la cadena de suministro impulsado por la comunidad que pretende aumentar el rigor de la seguridad en el proceso de desarrollo de software. Su objetivo es abordar las piezas críticas de la seguridad de la cadena de suministro de software, dando a los productores, consumidores y proveedores de infraestructura una manera eficaz de evaluar la seguridad del software, y obtener la confianza de que el software no ha sido manipulado y se puede rastrear de forma segura hasta su origen. Está respaldado por varias organizaciones tecnológicas de alto perfil como Google, Intel, Microsoft, VMware e IBM. La publicación estable de la SLSA 1.0 reduce la barrera de entrada para las mejoras, ayuda a los usuarios a centrar sus esfuerzos en mejorar las compilaciones y reduce las posibilidades de manipulación en una amplia franja de la cadena de suministro, afirmó la OpenSSF.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los ataques a la cadena de suministro son una amenaza constante que suele aprovecharse de los puntos débiles en la creación y distribución de software. La seguridad de la cadena de suministro de software es cada vez más importante para los gobiernos, las empresas y el sector de la ciberseguridad en general, y los recursos de código abierto desempeñan un papel clave tanto en el desarrollo de software como en los riesgos de seguridad relacionados.

SLSA v1.0 introduce Build Track, que describe la protección contra la manipulación de software

La versión SLSA v1.0 introduce un importante cambio conceptual en la división de los requisitos de nivel de SLSA en varias vías, cada una de las cuales proporciona conjuntos separados de niveles que miden un aspecto concreto de la seguridad de la cadena de suministro de software, según la OpenSSF. Anteriormente existía una única vía, pero las nuevas divisiones ayudarán a los usuarios a comprender y mitigar mejor los riesgos asociados a las cadenas de suministro de software y, en última instancia, a desarrollar, demostrar y utilizar software más seguro y fiable, añadió.

SLSA v1.0 comienza con la sección de construcción, que describe los niveles de protección contra la manipulación durante o después de la construcción del software. Según la OpenSSF, los niveles de compilación SLSA más altos ofrecen una mayor confianza en que un paquete procede realmente de las fuentes correctas, sin modificaciones ni influencias no autorizadas.

Los nuevos niveles 1 a 3 de Build Track corresponden aproximadamente a los niveles 1 a 3 de la versión 0.1, menos los requisitos de origen, según OpenSSF. Los requisitos de Build Track se han estructurado para reflejar la división del trabajo a lo largo de la cadena de suministro de software: producción de artefactos, verificación de los sistemas de compilación y verificación de los artefactos.

La Build Track establece una base sólida sobre la que ampliar el marco para abordar otros aspectos críticos del ciclo de vida de la entrega de software, y se espera que las futuras versiones de la especificación sigan basándose en los requisitos sin cambiar los definidos en la v1.0, según OpenSSF.

SLSA v1.0 también documenta la necesidad de verificar la procedencia proporcionando una orientación más explícita sobre cómo verificar la procedencia, además de realizar los cambios correspondientes en la especificación y el formato de procedencia. "SLSA 1.0 es un hito importante en el camino hacia la seguridad de nuestras cadenas de suministro de software", declaró Abhishek Arya, director de ingeniería del equipo de seguridad de código abierto de Google. "SLSA proporciona un marco común para evaluar la seguridad de las cadenas de suministro de software, y ayudará a las organizaciones a tomar decisiones informadas sobre el software que utilizan".

Casos de éxito

Más »