SLSA (Supply-chain Levels for Software Artifacts) est un cadre dirigé par Google, qui définit quatre niveaux de protection pour une chaîne d'approvisionnement logicielle et fournit des lignes directrices sur la manière d'atteindre ces niveaux. Étant donné que les entreprises exploitent des pipelines dynamiques, il est nécessaire de mesurer en permanence la sécurité des pipelines.
Cet objectif peut être atteint en mettant en œuvre une évaluation automatisée de la conformité SLSA. Dans cette conférence, nous partagerons les leçons tirées de notre parcours dans la mise en œuvre de l'automatisation dans des scénarios du monde réel à l'aide d'outils open source tels que Sigstore et OPA.
Les leçons, conceptuelles et techniques, mettent en lumière les détails et les défis du monde réel que nous avons rencontrés lors de l'évaluation et de l'automatisation de l'évaluation de la conformité SLSA. Certaines de ces leçons remettent en question une partie des exigences SLSA.