À medida que a complexidade do software continua a crescer, proteger-se do vetor de ameaças de dependências de software torna-se cada vez mais desafiador. Níveis de Cadeia de Fornecimento para Artefatos de Software (Supply chain Levels for Software Artifacts, em inglês), ou SLSA (pronuncia-se "salsa"), é uma curadoria de orientações para ajudar as organizações a se protegerem de ataques à cadeia de fornecimento, e uma evolução do conjunto de orientações interno que o Google vem usando há anos. Apreciamos que SLSA não promete uma abordagem "bala de prata" baseada apenas em ferramentas para proteger a cadeia de fornecimento, mas provê uma lista de verificação de ameaças e práticas concretas junto a um modelo de maturidade. O modelo de ameaças é fácil de seguir com exemplos reais de ataques e os requisitos fornecem orientações para ajudar as organizações a priorizar ações com base em níveis de robustez crescentes para melhorar sua postura de segurança na cadeia de fornecimento. Desde que incluímos pela primeira vez no Radar, SLSA adicionou mais detalhes sobre atestados de software com exemplos para rastrear preocupações como proveniência de compilação. Nossos times concluíram que SLSA consegue um bom equilíbrio entre a orientação para implementação e a conscientização de alto nível sobre as ameaças da cadeia de fornecimento.
À medida que o software continua a crescer em complexidade, proteger o vetor de ameaças de dependências de software se torna cada vez mais desafiador. A recente vulnerabilidade do Log4J mostrou o quão difícil pode ser até mesmo conhecer essas dependências — muitas empresas que não usavam o Log4J diretamente estavam inadvertidamente vulneráveis simplesmente porque outros softwares em seu ecossistema dependiam do mesmo. Supply-chain Levels for Software Artifacts, ou SLSA (pronuncia-se "salsa"), é um conjunto de orientações selecionadas por um consórcio para que as organizações se protejam contra ataques em cadeias de fornecimento, desenvolvido a partir de orientações internas que o Google vem usando há anos. Apreciamos o fato de SLSA não prometer uma abordagem "bala de prata" limitada a ferramentas para proteger a cadeia de fornecimento, em vez disso, fornecendo uma lista de verificação de ameaças e práticas concretas ao longo de um modelo de maturidade. O modelo de ameaça é fácil de seguir com exemplos reais de ataques e os requisitos fornecem orientações para ajudar as organizações a priorizar ações com base em níveis de robustez crescente para melhorar sua postura de segurança da cadeia de fornecimento. Acreditamos que SLSA fornece recomendações aplicáveis e esperamos que mais organizações aprendam com o conjunto.