Google宣布UI框架Flutter中的Cocoon应用程序,已经实践软件供应链安全框架SLSA第二级安全性,并且将项目身份和访问管理(IAM)权限降低到所需的最低权限,实例基础设施即程序代码以管理应用程序的权限。SLSA是Google在2021年,为应对软件供应链安全威胁所提出的安全框架。
Cocoon是Flutter基础设施持续集成调度应用程序,同时Cocoon还协助将多个持续集成服务与GitHub集成,并提供工具简化GitHub开发。而Cocoon达到SLSA第二级代表着,Google已经解决了该应用程序中第一级和第二级的所有安全问题,Cocoon已经对软件供应链特定威胁有一定的抵抗力。
而Google还针对docs-flutter-dev、master-docs-flutter-dev和flutter-dashboard项目实施额外的安全强化,这些项目扮演着重要角色,包括替Flutter提供公共文件、以及Flutter构建状态的仪表板网站。
Google通过基础设施即程序代码,对这些项目进行身份和访问管理,官方提到,现在所实施的基础设施即程序代码方法,需要程序代码变更来更改安全权限,而这也能确保更改之前获得批准,也就是说,安全权限的更改会经过源码控制审核,这些应用程序现有的IAM角色被削减,使应用程序遵循最小权限原则。