SLSA(软件工件供应链级别)是由 Google 主导的一个框架,它定义了软件供应链的四个保护级别,并提供了如何达到这些级别的指南。由于公司运营动态管道,因此需要持续测量管道的安全性。
这可以通过实施自动化 SLSA 合规性评估来实现。在本次演讲中,我们将分享使用 Sigstore 和 OPA 等开源工具在现实场景中实施自动化过程中获得的经验教训。
这些概念性和技术性的课程揭示了我们在评估和自动化 SLSA 合规性评估时遇到的现实细节和挑战。其中一些课程挑战了 SLSA 的部分要求。
SLSA(软件工件供应链级别)是由 Google 主导的一个框架,它定义了软件供应链的四个保护级别,并提供了如何达到这些级别的指南。由于公司运营动态管道,因此需要持续测量管道的安全性。
这可以通过实施自动化 SLSA 合规性评估来实现。在本次演讲中,我们将分享使用 Sigstore 和 OPA 等开源工具在现实场景中实施自动化过程中获得的经验教训。
这些概念性和技术性的课程揭示了我们在评估和自动化 SLSA 合规性评估时遇到的现实细节和挑战。其中一些课程挑战了 SLSA 的部分要求。