SLSA (Niveles de cadena de suministro para artefactos de software) es un marco liderado por Google que define cuatro niveles de protección para una cadena de suministro de software y proporciona pautas sobre cómo alcanzar estos niveles. Dado que las empresas operan ductos dinámicos, existe la necesidad de medir continuamente la seguridad del ducto.
Esto se puede lograr implementando una evaluación automatizada del cumplimiento de SLSA. En esta charla, compartiremos las lecciones aprendidas de nuestro viaje en la implementación de la automatización en escenarios del mundo real utilizando herramientas de código abierto como Sigstore y OPA.
Las lecciones, conceptuales y técnicas, arrojan luz sobre los detalles y desafíos del mundo real que encontramos al evaluar y automatizar la evaluación del cumplimiento de SLSA. Algunas de estas lecciones desafían parte de los requisitos de SLSA.