SLSA Framework
Qu'est-ce que SLSA Framework ?
SLSA FrameworkSupply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
SLSA ("salsa") est un cadre communautaire hébergé par l'OpenSSF qui aide producteurs et consommateurs à raisonner sur l'intégrité des pipelines de build. Il définit des niveaux de build (L1-L3+ aujourd'hui), des exigences sur les sources et dépendances et une provenance signée décrivant ce qui a été construit, comment et à partir de quoi. Les niveaux supérieurs exigent des builds reproductibles, des environnements hermétiques, des plateformes de build isolées et éphémères, et une provenance vérifiable. SLSA complète le SBOM (qui liste les composants) et des cadres comme NIST SSDF et CISA Secure by Design. L'adoption mêle généralement GitHub Actions reusable workflows, Tekton Chains, Sigstore Cosign et attestations in-toto. SLSA devient une attente de base dans l'achat régulé et fédéral.
● Exemples
- 01
Atteindre le niveau SLSA build 3 grâce aux reusable workflows de GitHub et à la provenance signée.
- 02
Vérifier la provenance SLSA au déploiement dans le contrôle d'admission Kubernetes.
● Questions fréquentes
Qu'est-ce que SLSA Framework ?
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie SLSA Framework ?
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
Comment fonctionne SLSA Framework ?
SLSA ("salsa") est un cadre communautaire hébergé par l'OpenSSF qui aide producteurs et consommateurs à raisonner sur l'intégrité des pipelines de build. Il définit des niveaux de build (L1-L3+ aujourd'hui), des exigences sur les sources et dépendances et une provenance signée décrivant ce qui a été construit, comment et à partir de quoi. Les niveaux supérieurs exigent des builds reproductibles, des environnements hermétiques, des plateformes de build isolées et éphémères, et une provenance vérifiable. SLSA complète le SBOM (qui liste les composants) et des cadres comme NIST SSDF et CISA Secure by Design. L'adoption mêle généralement GitHub Actions reusable workflows, Tekton Chains, Sigstore Cosign et attestations in-toto. SLSA devient une attente de base dans l'achat régulé et fédéral.
Comment se défendre contre SLSA Framework ?
Les défenses contre SLSA Framework combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SLSA Framework ?
Noms alternatifs courants : SLSA.
● Termes liés
- appsec№ 1069
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- appsec№ 870
Attestation de provenance
Déclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.
- appsec№ 522
in-toto
Cadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu.
- appsec№ 1044
Sigstore
Projet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
- appsec№ 226
Cosign
CLI open source du projet Sigstore pour signer, vérifier et attester des artefacts OCI et d'autres logiciels, en mode clé ou sans clé.
- appsec№ 921
Builds reproductibles
Pratiques de build garantissant que compiler le même code source avec les mêmes instructions produit un artefact identique bit à bit, peu importe le moment et l'endroit.