À medida que o software continua a crescer em complexidade, proteger o vetor de ameaças de dependências de software se torna cada vez mais desafiador. A recente vulnerabilidade do Log4J mostrou o quão difícil pode ser até mesmo conhecer essas dependências — muitas empresas que não usavam o Log4J diretamente estavam inadvertidamente vulneráveis simplesmente porque outros softwares em seu ecossistema dependiam do mesmo. Supply-chain Levels for Software Artifacts, ou SLSA (pronuncia-se "salsa"), é um conjunto de orientações selecionadas por um consórcio para que as organizações se protejam contra ataques em cadeias de fornecimento, desenvolvido a partir de orientações internas que o Google vem usando há anos. Apreciamos o fato de SLSA não prometer uma abordagem "bala de prata" limitada a ferramentas para proteger a cadeia de fornecimento, em vez disso, fornecendo uma lista de verificação de ameaças e práticas concretas ao longo de um modelo de maturidade. O modelo de ameaça é fácil de seguir com exemplos reais de ataques e os requisitos fornecem orientações para ajudar as organizações a priorizar ações com base em níveis de robustez crescente para melhorar sua postura de segurança da cadeia de fornecimento. Acreditamos que SLSA fornece recomendações aplicáveis e esperamos que mais organizações aprendam com o conjunto.
