随着软件复杂性的不断增加,软件依赖项的威胁路径变得越来越难以守护。软件工件供应链层级,又称 SLSA(读作 “salsa”),是一个由联盟组织策划的,为组织机构提供防范供应链攻击的指南集。该框架衍生于一个 Google 多年来一直使用的内部指南。值得称赞的是,SLSA 并没有承诺提供“银弹”,即仅使用工具确保供应链安全的方法,而是提供了一个基于成熟度模型的具体威胁和实践的清单。这个威胁模型是很容易理解的,其中包含了真实世界发生的攻击实例,并且要求文档中也提供了指南,帮助组织基于日渐增强的稳健性水平为其行动措施排定优先级,以改善他们供应链的安全态势。自我们第一次在技术雷达中提到 SLSA 以来,它已经通过示例,围绕软件认证增添了很多细节,以跟踪如构建出处等问题。我们的团队发现 SLSA 在具体执行指导和更高层次对供应链威胁的认知之间取得了良好的平衡。
随着软件复杂性的不断增加,软件依赖项的威胁路径变得越来越难以守护。最近的 Log4J 漏洞表明了解这些依赖关系有多困难——许多没有直接使用 Log4J 的公司在不知不觉中就变得脆弱,因其生态系统中的其他软件依赖于 Log4J。软件工件供应链层级,又称 SLSA(读作 “salsa”),是一个由联盟组织策划的,为组织机构提供防范供应链攻击的指南集。该框架衍生于一个 Google 多年来一直使用的内部指南。值得称赞的是,SLSA 并没有承诺提供“银弹”,即仅使用工具确保供应链安全的方法,而是提供了一个基于成熟度模型的具体威胁和实践的清单。这个威胁模型 是很容易理解的,其中包含了真实世界发生的攻击实例,并且要求文档中也提供了指南,帮助组织基于日渐增强的稳健性水平为其行动措施排定优先级,以改善他们供应链的安全态势。我们认为 SLSA 提供了适用的建议,并期待更多组织机构从中学习。
