SLSA Framework
¿Qué es SLSA Framework?
SLSA FrameworkSupply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
SLSA ("salsa") es un marco comunitario alojado en OpenSSF que ayuda a productores y consumidores a razonar sobre la integridad de las cadenas de build. Define niveles de build (L1-L3+ en versiones actuales), requisitos de fuente y dependencias, y procedencia firmada que describe qué se construyó, cómo y a partir de qué entradas. Los niveles más altos exigen builds reproducibles, entornos herméticos, plataformas de build aisladas y efímeras, y procedencia verificable. Complementa a los SBOM (que listan componentes) y a marcos como NIST SSDF y CISA Secure by Design. Su adopción combina herramientas como GitHub Actions reusable workflows, Tekton Chains, Sigstore Cosign y atestaciones in-toto. SLSA se está convirtiendo en una expectativa básica en contratación regulada y federal.
● Ejemplos
- 01
Alcanzar SLSA build level 3 utilizando reusable workflows de GitHub y procedencia firmada.
- 02
Verificar la procedencia SLSA en el despliegue como parte del control de admisión en Kubernetes.
● Preguntas frecuentes
¿Qué es SLSA Framework?
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa SLSA Framework?
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
¿Cómo funciona SLSA Framework?
SLSA ("salsa") es un marco comunitario alojado en OpenSSF que ayuda a productores y consumidores a razonar sobre la integridad de las cadenas de build. Define niveles de build (L1-L3+ en versiones actuales), requisitos de fuente y dependencias, y procedencia firmada que describe qué se construyó, cómo y a partir de qué entradas. Los niveles más altos exigen builds reproducibles, entornos herméticos, plataformas de build aisladas y efímeras, y procedencia verificable. Complementa a los SBOM (que listan componentes) y a marcos como NIST SSDF y CISA Secure by Design. Su adopción combina herramientas como GitHub Actions reusable workflows, Tekton Chains, Sigstore Cosign y atestaciones in-toto. SLSA se está convirtiendo en una expectativa básica en contratación regulada y federal.
¿Cómo defenderse de SLSA Framework?
Las defensas contra SLSA Framework combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SLSA Framework?
Nombres alternativos comunes: SLSA.
● Términos relacionados
- appsec№ 1069
Seguridad de la cadena de suministro de software
Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.
- appsec№ 870
Atestación de procedencia
Declaración firmada y verificable por máquina que describe cómo se produjo un artefacto de software —fuente, sistema de build, parámetros y dependencias— para que los consumidores confíen en su origen.
- appsec№ 522
in-toto
Marco abierto que atestigua criptográficamente cada paso de una cadena de suministro de software, para que los consumidores verifiquen que el artefacto se construyó y manejó exactamente como pretendía el propietario del proyecto.
- appsec№ 1044
Sigstore
Proyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
- appsec№ 226
Cosign
CLI open source del proyecto Sigstore para firmar, verificar y atestiguar artefactos OCI y otro software, usando flujos con o sin claves de larga duración.
- appsec№ 921
Builds reproducibles
Prácticas de build que garantizan que compilar el mismo código fuente con las mismas instrucciones produzca un artefacto idéntico bit a bit, sin importar cuándo o dónde se construya.