SLSA (Supply-chain Levels for Software Artifacts) は Google が主導するフレームワークで、ソフトウェア サプライ チェーンの 4 つの保護レベルを定義し、これらのレベルに到達する方法に関するガイドラインを提供します。企業は動的なパイプラインを運用しているため、パイプラインのセキュリティを継続的に測定する必要があります。
これは、自動化された SLSA 準拠評価を実装することで満たされます。この講演では、Sigstore や OPA などのオープンソース ツールを使用して、現実世界のシナリオで自動化を実装する過程から学んだ教訓を共有します。
概念的および技術的なレッスンは、SLSA 準拠の評価および評価を自動化する際に遭遇した現実世界の詳細と課題に光を当てます。これらのレッスンの中には、SLSA 要件の一部に挑戦するものもあります。