O Que É SLSA?
SLSA (Supply-chain Levels for Software Artifacts) é um framework aberto que classifica quão confiável é um processo de build em níveis progressivos. Níveis mais altos exigem garantias mais fortes, como uma plataforma de build fortalecida, provenance verificável e isolamento entre builds. Ele dá aos times uma escada concreta para melhorar a supply-chain security.
Por que isso importa
O SLSA transforma metas vagas de "tornar o build mais seguro" em requisitos mensuráveis. Alcançar os níveis mais altos normalmente significa usar um serviço de build gerenciado e isolado que emite provenance assinada, em vez de construir em máquinas compartilhadas e mutáveis.
Conceitos relacionados
- Build provenance é um requisito central do SLSA
- Runners efêmeros e isolados ajudam a atingir níveis mais altos
- Pronuncia-se "salsa"
Guias relacionados
What Is Build Provenance?Build provenance is signed metadata describing how an artifact was built, including its source, inputs, and b…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…
What Is an Ephemeral Runner?An ephemeral runner is a CI worker that runs exactly one job on a fresh machine, then is destroyed, giving ev…