C'est maintenant plus facile que jamais avec le Valint Slsa de Scribe.
SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure.
Le concept de base de SLSA est qu’un artefact logiciel n’est fiable que s’il répond à trois exigences :
- L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction (L1).
- Le document de provenance doit être fiable et vérifié en aval (L2).
- Le système de construction doit être digne de confiance (L3).
Le cadre SLSA définit des niveaux qui représentent le degré de sécurité de la chaîne d'approvisionnement logicielle. Ces niveaux correspondent au niveau de mise en œuvre de ces exigences (noté L1-L3 ci-dessus).
Répondre aux exigences SLSA est… Eh bien… complexe. Cela implique une compréhension nuancée des dépendances de la plate-forme CI, défie une automatisation complète et exige une analyse de sécurité méticuleuse des systèmes de build et des pipelines.
Si SLSA L3 est la voie à suivre pour votre organisation, il est temps de retrousser vos manches.
Scribe valint slsaLa commande peut être utilisée pour produire des documents de provenance. Nous décrivons ci-dessous comment atteindre les niveaux SLSA en utilisant cet outil.
Obtenez ce cas d'utilisation, qui fournit notre liste de contrôle recommandée pour vous guider tout au long du processus.
