SLSA (Supply-chain Levels for Software Artifacts) è un framework guidato da Google, che definisce quattro livelli di protezione per una catena di fornitura di software e fornisce linee guida su come raggiungere questi livelli. Poiché le aziende gestiscono condutture dinamiche, è necessario misurarne continuamente la sicurezza.
Ciò può essere soddisfatto implementando una valutazione automatizzata della conformità SLSA. In questo discorso condivideremo le lezioni apprese dal nostro viaggio nell'implementazione dell'automazione in scenari del mondo reale utilizzando strumenti open source come Sigstore e OPA.
Le lezioni, concettuali e tecniche, fanno luce sui dettagli e sulle sfide del mondo reale che abbiamo incontrato durante la valutazione e l'automazione della valutazione della conformità SLSA. Alcune di queste lezioni mettono in discussione parte dei requisiti SLSA.