SLSA (Supply-chain Levels for Software Artifacts) is een raamwerk onder leiding van Google dat vier beschermingsniveaus definieert voor een softwaretoeleveringsketen en richtlijnen geeft over hoe deze niveaus kunnen worden bereikt. Omdat bedrijven dynamische pijpleidingen exploiteren, is het nodig om de veiligheid van de pijpleiding voortdurend te meten.
Hieraan kan worden voldaan door de implementatie van geautomatiseerde SLSA-nalevingsevaluatie. In deze lezing zullen we de lessen delen die we hebben geleerd tijdens onze reis bij het implementeren van automatisering in praktijkscenario's met behulp van open-sourcetools zoals Sigstore en OPA.
De lessen, zowel conceptueel als technisch, werpen licht op de details en uitdagingen uit de praktijk die we tegenkwamen bij het evalueren en automatiseren van de evaluatie van SLSA-naleving. Sommige van deze lessen dagen een deel van de SLSA-vereisten uit.