SLSA Level 3 とは何か
SLSA level 3 は、Supply-chain Levels for Software Artifacts フレームワークの階層で、artifact がどのように生成されたかについてより強い保証を追加します。改ざんを防ぐ堅牢化された build サービス上で build が実行され、プロジェクト自身によって偽造できない署名済みの provenance を発行することを要求します。これは、スクリプト化された build と provenance のみを求める基本的な階層の上に位置します。
なぜ重要か
level 3 に到達するということは、消費者が、artifact が分離されたインフラ上の宣言された build プロセスから来たと信頼できることを意味します。これは、悪意ある build を注入しようとする攻撃者にとってのハードルを上げます。
関連ガイド
What Is a Provenance Attestation Step?A provenance attestation step is a pipeline stage that records how an artifact was built and from what inputs…
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is a Reproducible Toolchain?A reproducible toolchain is a pinned, deterministic set of compilers and tools that produces byte-identical o…