SLSA Framework
SLSA Framework とは何ですか?
SLSA FrameworkSupply-chain Levels for Software Artifacts:OpenSSF が公開する段階的要件集で、ソフトウェアのビルド・署名・検証を強化し、サプライチェーン改ざんに対する耐性を段階的に高めるもの。
SLSA(「サルサ」と発音)は OpenSSF がホストするコミュニティフレームワークで、生産者と利用者がビルドパイプラインの完全性を論じるための共通言語を提供します。現行版ではビルドレベル L1〜L3+ を定義し、ソースや依存関係の要件、何を・どのように・何を入力として作ったかを示す署名付きプロベナンスを規定します。上位レベルでは、再現可能なビルド、密閉的(hermetic)なビルド環境、隔離された短命なビルド基盤、検証可能なプロベナンスが求められます。SBOM(構成部品の列挙)や NIST SSDF、CISA Secure by Design などと相補的に機能します。導入は GitHub Actions の再利用可能ワークフロー、Tekton Chains、Sigstore Cosign、in-toto アテステーションといった組み合わせが一般的で、規制業界や連邦調達では基本要件になりつつあります。
● 例
- 01
GitHub の再利用可能ワークフローと署名付きプロベナンスにより SLSA ビルドレベル 3 を達成。
- 02
Kubernetes の Admission Control の一部として、デプロイ時に SLSA プロベナンスを検証する運用。
● よくある質問
SLSA Framework とは何ですか?
Supply-chain Levels for Software Artifacts:OpenSSF が公開する段階的要件集で、ソフトウェアのビルド・署名・検証を強化し、サプライチェーン改ざんに対する耐性を段階的に高めるもの。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
SLSA Framework とはどういう意味ですか?
Supply-chain Levels for Software Artifacts:OpenSSF が公開する段階的要件集で、ソフトウェアのビルド・署名・検証を強化し、サプライチェーン改ざんに対する耐性を段階的に高めるもの。
SLSA Framework からどのように防御しますか?
SLSA Framework に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SLSA Framework の別名は何ですか?
一般的な別名: SLSA。