セキュリティが大事な昨今なので、SLSAというものについて調べてみた
SLSAとはソフトウェアサプライチェーンにおける完全製確保のためのセキュリティフレームワークとのこと
(セキュリティ分野で言うフレームワークはセキュリティを確保するために策定・定義された指針や基準、ガイドライン等のことを言うらしい)
SLSAが重視するのはサプライチェーンの完全性である。そして可用性に二番目の焦点を置いている。
ソフトウェアのライフサイクルのどの段階でも改竄から保護すること。
SLSAでは完全性をソース完全性とビルド完全性に分類している。
ソース完全性:ソースリビジョンが作者の意図を表している。期待されるプロセスが遵守されている。リビジョンが承認された後に変更されていない。
ビルド完全性:パッケージが作者によって定義された方法に従ってビルドされている。修正されていない正しいソースと依存関係からビルドされて開発段階間で成果物が渡されるときに成果物が修正されていないことを保証する
可用性:パッケージが将来にわたりビルドと保守を継続でき、全てのコードと変更履歴が調査やインシデント対応に利用できることを保証する
コメントする