SLSA (Supply-chain Levels for Software Artifacts) ist ein von Google geleitetes Framework, das vier Schutzebenen für eine Software-Lieferkette definiert und Richtlinien zum Erreichen dieser Ebenen bereitstellt. Da Unternehmen dynamische Pipelines betreiben, besteht die Notwendigkeit, die Sicherheit der Pipeline kontinuierlich zu messen.
Dies kann durch die Implementierung einer automatisierten SLSA-Compliance-Bewertung erreicht werden. In diesem Vortrag werden wir die Erkenntnisse aus unserer Reise bei der Implementierung von Automatisierung in realen Szenarien mit Open-Source-Tools wie Sigstore und OPA teilen.
Die konzeptionellen und technischen Lektionen beleuchten die realen Details und Herausforderungen, denen wir bei der Bewertung und Automatisierung der Bewertung der SLSA-Konformität begegnet sind. Einige dieser Lektionen stellen einen Teil der SLSA-Anforderungen in Frage.