Flutter Cocoon应用程序达SLSA level 2安全性，可抵抗特定软件供应链安全威胁

Google宣布UI框架Flutter中的Cocoon应用程序，已经实践软件供应链安全框架SLSA第二级安全性，并且将项目身份和访问管理（IAM）权限降低到所需的最低权限，实例基础设施即程序代码以管理应用程序的权限。SLSA是Google在2021年，为应对软件供应链安全威胁所提出的安全框架。

Cocoon是Flutter基础设施持续集成调度应用程序，同时Cocoon还协助将多个持续集成服务与GitHub集成，并提供工具简化GitHub开发。而Cocoon达到SLSA第二级代表着，Google已经解决了该应用程序中第一级和第二级的所有安全问题，Cocoon已经对软件供应链特定威胁有一定的抵抗力。

而Google还针对docs-flutter-dev、master-docs-flutter-dev和flutter-dashboard项目实施额外的安全强化，这些项目扮演着重要角色，包括替Flutter提供公共文件、以及Flutter构建状态的仪表板网站。

Google通过基础设施即程序代码，对这些项目进行身份和访问管理，官方提到，现在所实施的基础设施即程序代码方法，需要程序代码变更来更改安全权限，而这也能确保更改之前获得批准，也就是说，安全权限的更改会经过源码控制审核，这些应用程序现有的IAM角色被削减，使应用程序遵循最小权限原则。