Idioma: Español
SLSA: "Supply-chain Levels for Software Artifacts", slsa.dev. Pronunciado "salsa", como el alioli rico rico en las patatas fritas 😁.
SLSA es un marco de seguridad de código abierto que explora cómo prevenir vulnerabilidades en la cadena de suministro de software, como la falsificación de código fuente, ataques a entornos de desarrollo y compilación, o malware inyectado a través de librerías infectadas.
Presentaremos varios ejemplos de vulnerabilidades de alto impacto donde los atacantes obtuvieron acceso a entornos a través del código fuente, dependencias importadas o entornos de integración: ataques de phishing directos a ingenieros para acceder a sus PC e introducir puertas traseras en el código, o la crisis de malware de npm más reciente que toque esta semana...
Analicemos cómo SLSA intenta solucionar esta vulnerabilidad crítica, común hoy en día, garantizando la procedencia completa del código y las dependencias en producción, y protegiendo todo el proceso y las herramientas de CI/CD.
Tras esta breve introducción, veamos un ejemplo práctico: cómo podemos proteger una API simple de Python basada en Flask, cumpliendo cada nivel de la ruta de compilación de SLSA v1.2, paso a paso:
- L0: Sin garantías
- L1: Existe procedencia
- L2: Plataforma de compilación alojada
- L3: Compilaciones reforzadas