SLSAとは?
SLSA(Supply-chain Levels for Software Artifacts)は、ビルドプロセスがどれだけ信頼できるかを段階的なレベルで格付けするオープンなフレームワークです。より高いレベルは、堅牢化されたビルドプラットフォーム、検証可能なprovenance、ビルド間の隔離といった、より強い保証を要求します。supply-chain securityを改善するための具体的なはしごをチームに与えます。
なぜ重要か
SLSAは「ビルドをもっと安全に」という曖昧な目標を測定可能な要件に変えます。より高いレベルに到達することは通常、共有された可変なマシン上でビルドするのではなく、署名済みのprovenanceを発行するマネージドで隔離されたビルドサービスを使うことを意味します。
関連する概念
- build provenanceはSLSAの中核的な要件である
- エフェメラルで隔離されたrunnerはより高いレベルの達成に役立つ
- 「サルサ」と発音する
関連ガイド
What Is Build Provenance?Build provenance is signed metadata describing how an artifact was built, including its source, inputs, and b…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…
What Is an Ephemeral Runner?An ephemeral runner is a CI worker that runs exactly one job on a fresh machine, then is destroyed, giving ev…