Scribe の Valint slsa を使用すると、これまでよりも簡単になりました。
SLSA (Supply-chain Levels for Software Artifacts) は、改ざんの防止、整合性の向上、パッケージとインフラストラクチャの保護を目的としたセキュリティ フレームワークです。
SLSA の中核となる概念は、ソフトウェア アーティファクトが次の 3 つの要件を満たしている場合にのみ信頼できるということです。
- アーティファクトには、その起源と構築プロセスを説明する来歴文書が必要です (L1)。
- 出所文書は信頼でき、下流 (L2) で検証される必要があります。
- ビルド システムは信頼できるものである必要があります (L3)。
SLSA フレームワークは、ソフトウェア サプライ チェーンの安全性を表すレベルを定義します。これらのレベルは、これらの要件の実装レベルに対応します (上記では L1 ~ L3 として示されています)。
SLSA 要件を満たすのは、そうですね、複雑です。これには、CI プラットフォームの依存関係を微妙に理解する必要があり、完全な自動化は不可能であり、ビルド システムとパイプラインの細心の注意を払ったセキュリティ分析が必要です。
SLSA L3 が組織にとって前進する道であるなら、今こそ袖をまくり上げるべき時です。
筆記者の valint slsaコマンドを使用して出所文書を作成できます。次に、このツールを使用して SLSA レベルを達成する方法について説明します。
プロセスをガイドする推奨チェックリストを提供するこのユースケースを入手してください。
