Google lanserar nu ett nytt ramverk för säkrare Supply Chain Cyber Security. Detta ramverk har fått namnet SLSA: Supply-chain Levels for Software Artifacts och uttalas salsa. Ramverket består av tre olika delar enligt följande:

1. En gemensam standard som industrin har enats om
2. En process för att granska och ackreditera ovan standard
3. Tekniska kontroller för att övervaka ursprung och upptäcka eller förhindra överträdelser

Även finns det fyra olika säkerhetsnivåer:

Google har även dokumenterat några av de attacker som kan drabba en supply-chain enligt följande bild:

Jag tycker det är ett bra initiativ av Google och att det finns mer att läsa i Googles SRE Book samt BAB (Binary Authorization for Borg). Måste även passa på att rekommendera Security Scorecards som är ett projekt för att beräkna säkerheten på open-source projekt, testa och läs mer här:

• github.com/ossf/scorecard