SLSA 규정 준수 평가 자동화를 통해 얻은 교훈 – Daniel Nebenzahl, Scribe security

모든 자료
Video

SLSA(소프트웨어 아티팩트에 대한 공급망 수준)는 Google이 주도하는 프레임워크로, 소프트웨어 공급망에 대한 4가지 보호 수준을 정의하고 이러한 수준에 도달하는 방법에 대한 지침을 제공합니다. 기업은 동적 파이프라인을 운영하기 때문에 파이프라인의 보안을 지속적으로 측정할 필요가 있습니다.

이는 자동화된 SLSA 준수 평가를 구현하여 충족할 수 있습니다. 이 강연에서는 Sigstore 및 OPA와 같은 오픈 소스 도구를 사용하여 실제 시나리오에서 자동화를 구현하는 여정에서 배운 교훈을 공유할 것입니다.

개념적, 기술적 강의에서는 SLSA 준수 여부를 평가하고 자동화할 때 직면하게 되는 실제 세부 사항과 과제를 조명합니다. 이러한 강의 중 일부는 SLSA 요구 사항의 일부에 도전합니다.