Celebrando SLSA v1.0: asegurando la cadena de suministro de software para todos
AS-031-2023
Fecha: 28/Abr/2023
Autor: Bob Callaway, ingeniero del equipo de seguridad de código abierto de Google
Resumen:
La semana pasada, Open Source Security Foundation (OpenSSF) anunció el lanzamiento de SLSA v1.0 , un marco que ayuda a proteger la cadena de suministro de software. Diez años de uso de una versión interna de SLSA en Google han demostrado que es crucial para evitar la manipulación y mantener el software seguro. Es especialmente gratificante ver que SLSA llega a la versión 1.0 como un proyecto de código abierto: los colaboradores se han unido para producir soluciones que beneficiarán a todos.
SLSA para cadenas de suministro más seguras.
Los desarrolladores y las organizaciones que adopten SLSA se protegerán contra una variedad de ataques a la cadena de suministro, que han seguido aumentando desde que Google donó SLSA por primera vez a OpenSSF en 2021. En ese momento, la industria también ha visto una orden ejecutiva de EE. UU., acerca de la ciberseguridad. El Marco de desarrollo de software seguro (SSDF) del NIST para guiar los estándares nacionales para el software utilizado por el gobierno de los EE. UU., así como la Directiva de seguridad de la información y las redes (NIS2) en la Unión Europea. SLSA ofrece no solo una vía de acceso para cumplir con estos estándares, sino también una forma de prepararse para un clima de mayor escrutinio sobre las prácticas de desarrollo de software.
Seguridad de la cadena de suministro para todos.
El equipo es ascendente en la seguridad de código abierto y está formado por desarrolladores que dedican el 100 % de su tiempo a contribuir con proyectos críticos de código abierto para realizar mejoras de seguridad. Para los desarrolladores de código abierto que eligen adoptar SLSA por su cuenta, se ha financiado el Programa de recompensas de código abierto seguro , que paga directamente a los desarrolladores por este tipo de mejoras de seguridad.
Actualmente, los desarrolladores de código abierto que desean proteger sus compilaciones pueden usar el SLSA L3 GitHub Builder gratuito , que solo requiere un ajuste único al proceso de compilación tradicional implementado a través de las acciones de GitHub. También está la herramienta SLSA Verifier para consumidores de software. Los usuarios de npm, o Node Package Manager, el repositorio de software más grande del mundo, pueden aprovechar su integración beta SLSA lanzada recientemente , que agiliza el proceso de creación y verificación de la procedencia de SLSA a través de la interfaz de línea de comandos de npm. También se apoya la integración de Sigstore en muchos de los principales ecosistemas de paquetes, lo que significa que los usuarios pueden firmar y verificar artefactos directamente desde las herramientas de administración de paquetes, sin tener que administrar claves. La intención es continuar expandiendo este tipo de integraciones en ecosistemas de código abierto para que las soluciones de seguridad de la cadena de suministro sean universales y fácilmente accesibles.
Se facilitando que todos entiendan sus dependencias. Vulnerabilidades como Log4Shell han demostrado la importancia (y la dificultad) de saber de qué proyectos depende y dónde pueden estar sus debilidades de seguridad. Los desarrolladores pueden usar la API deps.dev para generar gráficos de dependencia reales, con puntajes de seguridad de OpenSSF Scorecard y otros metadatos de seguridad para cada dependencia que usan. También pueden usar OSV-Scanner para generar una lista de alta calidad de vulnerabilidades procesables en esas dependencias.
Contribuciones comunitarias continuas.
Se seguirá contribuyendo a estos esfuerzos y alentando a otras organizaciones que confían en el código abierto para que dediquen de manera similar a los desarrolladores al soporte upstream. Internet, tal como lo conocemos hoy, no estaría disponible sin el software de código abierto, y lo mejor para todos es retribuir a las comunidades que hacen posible el desarrollo de software moderno.
Referencia:
https://security.googleblog.com/2023/04/celebrating-slsa-v10-securing-software.html
