Así como el software sigue creciendo en complejidad, la cantidad de amenazas en las dependencias de software se vuelve cada vez más difícil de proteger. Los niveles de la cadena de suministro para artefactos de software, Supply chain Levels for Software Artifacts o SLSA (pronunciado "salsa"), es un conjunto de guías seleccionadas por un consorcio para que las organizaciones se protejan contra los ataques a la cadena de suministro, guías que evolucionaron gracias a la dirección interna que Google ha estado utilizando durante años. Apreciamos que SLSA no se comprometa con una "bala de plata", es decir, un enfoque de solo herramientas para proteger la cadena de suministro, sino que proporciona una lista de verificación de amenazas y prácticas concretas a lo largo de un modelo de madurez. El modelo de amenazas es fácil de seguir con ejemplos de ataques del mundo real y los requisitos brindan orientación para ayudar a las organizaciones a priorizar acciones en función de los niveles de una robustez creciente para mejorar su posición de seguridad en la cadena de suministro. Desde que lo mencionamos por primera vez en el Radar, SLSA ha agregado más detalles sobre certificaciones de software con ejemplos para rastrear inquietudes como la fuente de compilación. Nuestros equipos han encontrado que SLSA logra un buen equilibrio entre asistencia de implementación y la conciencia de alto nivel sobre las amenazas alrededor de la cadena de suministro.
A medida que el software continúa aumentando en complejidad, el vector de ataque a través de dependencias de software se convierte en algo cada vez más difícil contra lo que protegerse. La reciente vulnerabilidad de Log4J nos mostró cómo de difícil puede ser incluso conocer esas dependencias — muchas compañías que no usaban Log4J directamente fueron vulnerables sin saberlo solo por el hecho de que otro software en su ecosistema dependía de esta librería. Supply chain Levels for Software Artifacts, o SLSA (pronunciado "salsa"), es un conjunto de guías curadas por un consorcio para que las organizaciones se protejan de ataques contra la cadena de suministro, ha sido evolucionado a partir de las guías internas que Google ha estado usando por años. Apreciamos que SLSA no promete una “bala de plata” con un enfoque centrado en herramientas para proteger la cadena de suministro, sino que proporciona una lista de amenazas concretas y prácticas junto con un modelo de madurez. El modelo de amenazas es fácil de entender ya que cuenta con ejemplos reales de ataques, y los requisitos proveen una guía para ayudar a las organizaciones a priorizar acciones basadas en niveles incrementales de robustez para mejorar su postura de seguridad en la cadena de suministro. Creemos que SLSA provee consejos aplicables y esperamos que más organizaciones aprendan de ello.