SLSA (Уровни цепочки поставок для артефактов программного обеспечения) — это структура, возглавляемая Google, которая определяет четыре уровня защиты цепочки поставок программного обеспечения и предоставляет рекомендации по достижению этих уровней. Поскольку компании эксплуатируют динамические трубопроводы, существует необходимость постоянного измерения безопасности трубопровода.
Этого можно достичь путем внедрения автоматизированной оценки соответствия SLSA. В этом докладе мы поделимся уроками, извлеченными из нашего опыта внедрения автоматизации в реальных сценариях с использованием инструментов с открытым исходным кодом, таких как Sigstore и OPA.
Уроки, концептуальные и технические, проливают свет на реальные детали и проблемы, с которыми мы столкнулись при оценке и автоматизации оценки соответствия SLSA. Некоторые из этих уроков бросают вызов части требований SLSA.