SLSA Framework
SLSA Framework 是什么?
SLSA FrameworkSupply-chain Levels for Software Artifacts:OpenSSF 发布的分级要求集合,逐级强化软件构建、签名与验证,以抵御供应链篡改。
SLSA(发音同 "salsa")由 OpenSSF 维护,是一项社区驱动的框架,帮助生产方与消费方推理构建管道的完整性。它定义构建级别(当前版本为 L1-L3+)、源代码与依赖要求,以及由谁、如何、用何种输入构建的可签名的来源证明(provenance)。更高级别要求可复现构建、密封式构建环境、隔离且短暂的构建平台,以及可验证的来源证明。它与 SBOM(列出组件)以及 NIST SSDF、CISA Secure by Design 等框架互为补充。落地通常结合 GitHub Actions 可复用工作流、Tekton Chains、Sigstore Cosign 与 in-toto 证明。SLSA 正在成为受监管行业与联邦采购的基线要求。
● 示例
- 01
通过使用 GitHub 可复用工作流与签名 provenance 达到 SLSA 构建等级 3。
- 02
在 Kubernetes 准入控制中,于部署时验证 SLSA provenance。
● 常见问题
SLSA Framework 是什么?
Supply-chain Levels for Software Artifacts:OpenSSF 发布的分级要求集合,逐级强化软件构建、签名与验证,以抵御供应链篡改。 它属于网络安全的 应用安全 分类。
SLSA Framework 是什么意思?
Supply-chain Levels for Software Artifacts:OpenSSF 发布的分级要求集合,逐级强化软件构建、签名与验证,以抵御供应链篡改。
如何防御 SLSA Framework?
针对 SLSA Framework 的防御通常结合技术控制与运营实践,详见上方完整定义。
SLSA Framework 还有哪些其他名称?
常见的别称包括: SLSA。