SLSA Framework
¿Qué es SLSA Framework?
SLSA FrameworkSupply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
SLSA ("salsa") es un marco comunitario alojado en OpenSSF que ayuda a productores y consumidores a razonar sobre la integridad de las cadenas de build. Define niveles de build (L1-L3+ en versiones actuales), requisitos de fuente y dependencias, y procedencia firmada que describe qué se construyó, cómo y a partir de qué entradas. Los niveles más altos exigen builds reproducibles, entornos herméticos, plataformas de build aisladas y efímeras, y procedencia verificable. Complementa a los SBOM (que listan componentes) y a marcos como NIST SSDF y CISA Secure by Design. Su adopción combina herramientas como GitHub Actions reusable workflows, Tekton Chains, Sigstore Cosign y atestaciones in-toto. SLSA se está convirtiendo en una expectativa básica en contratación regulada y federal.
● Ejemplos
- 01
Alcanzar SLSA build level 3 utilizando reusable workflows de GitHub y procedencia firmada.
- 02
Verificar la procedencia SLSA en el despliegue como parte del control de admisión en Kubernetes.
● Preguntas frecuentes
¿Qué es SLSA Framework?
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa SLSA Framework?
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
¿Cómo defenderse de SLSA Framework?
Las defensas contra SLSA Framework combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SLSA Framework?
Nombres alternativos comunes: SLSA.