SLSA (Níveis da cadeia de suprimentos para artefatos de software) é uma estrutura liderada pelo Google que define quatro níveis de proteção para uma cadeia de suprimentos de software e fornece diretrizes sobre como atingir esses níveis. Como as empresas operam oleodutos dinâmicos, há necessidade de medir continuamente a segurança do oleoduto.
Isto pode ser alcançado através da implementação de avaliação automatizada de conformidade com SLSA. Nesta palestra, compartilharemos lições aprendidas em nossa jornada na implementação de automação em cenários do mundo real usando ferramentas de código aberto como Sigstore e OPA.
As lições, conceituais e técnicas, esclarecem os detalhes e desafios do mundo real que encontramos ao avaliar e automatizar a avaliação da conformidade com SLSA. Algumas dessas lições desafiam parte dos requisitos do SLSA.