Enable javascript in your browser for better experience. Need to know to enable it? Go here.
Menu
Fechar
Técnicas Back
Atualizado em : Oct 26, 2022
NÃO ENTROU NA EDIÇÃO ATUAL
Este blip não está na edição atual do Radar. Se esteve em uma das últimas edições, é provável que ainda seja relevante. Se o blip for mais antigo, pode não ser mais relevante e nossa avaliação pode ser diferente hoje. Infelizmente, não conseguimos revisar continuamente todos os blips de edições anteriores do Radar. Saiba mais
Oct 2022
Trial ? Vale a pena ir atrás. É importante entender como desenvolver essa capacidade. As empresas devem experimentar esta tecnologia em um projeto que possa lidar com o risco.

À medida que a complexidade do software continua a crescer, proteger-se do vetor de ameaças de dependências de software torna-se cada vez mais desafiador. Níveis de Cadeia de Fornecimento para Artefatos de Software (Supply chain Levels for Software Artifacts, em inglês), ou SLSA (pronuncia-se "salsa"), é uma curadoria de orientações para ajudar as organizações a se protegerem de ataques à cadeia de fornecimento, e uma evolução do conjunto de orientações interno que o Google vem usando há anos. Apreciamos que SLSA não promete uma abordagem "bala de prata" baseada apenas em ferramentas para proteger a cadeia de fornecimento, mas provê uma lista de verificação de ameaças e práticas concretas junto a um modelo de maturidade. O modelo de ameaças é fácil de seguir com exemplos reais de ataques e os requisitos fornecem orientações para ajudar as organizações a priorizar ações com base em níveis de robustez crescentes para melhorar sua postura de segurança na cadeia de fornecimento. Desde que incluímos pela primeira vez no Radar, SLSA adicionou mais detalhes sobre atestados de software com exemplos para rastrear preocupações como proveniência de compilação. Nossos times concluíram que SLSA consegue um bom equilíbrio entre a orientação para implementação e a conscientização de alto nível sobre as ameaças da cadeia de fornecimento.

Mar 2022
Assess ? Vale a pena explorar com o objetivo de compreender como isso afetará sua empresa.

À medida que o software continua a crescer em complexidade, proteger o vetor de ameaças de dependências de software se torna cada vez mais desafiador. A recente vulnerabilidade do Log4J mostrou o quão difícil pode ser até mesmo conhecer essas dependências — muitas empresas que não usavam o Log4J diretamente estavam inadvertidamente vulneráveis ​​simplesmente porque outros softwares em seu ecossistema dependiam do mesmo. Supply-chain Levels for Software Artifacts, ou SLSA (pronuncia-se "salsa"), é um conjunto de orientações selecionadas por um consórcio para que as organizações se protejam contra ataques em cadeias de fornecimento, desenvolvido a partir de orientações internas que o Google vem usando há anos. Apreciamos o fato de SLSA não prometer uma abordagem "bala de prata" limitada a ferramentas para proteger a cadeia de fornecimento, em vez disso, fornecendo uma lista de verificação de ameaças e práticas concretas ao longo de um modelo de maturidade. O modelo de ameaça é fácil de seguir com exemplos reais de ataques e os requisitos fornecem orientações para ajudar as organizações a priorizar ações com base em níveis de robustez crescente para melhorar sua postura de segurança da cadeia de fornecimento. Acreditamos que SLSA fornece recomendações aplicáveis ​​e esperamos que mais organizações aprendam com o conjunto.

Publicado : Mar 29, 2022

Baixe o PDF

 

 

 

English | Español | Português | 中文

Inscreva-se para receber o boletim informativo Technology Radar

 

 

Seja assinante

 

 

Visite nosso arquivo para acessar os volumes anteriores

Arquivo