Supply-chain Levels for Software Artifacts, or SLSA ("salsa"). It’s a security framework, a checklist of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure. It’s how you get from "safe enough" to being as …

2021年6月23日 · 谷歌提出的解决方案是软件开发的供应链级别（Supply chain Levels for Software Artifacts 简称 SLSA，发音为“salsa”），这是一个端到端框架，用于保证整个软件供应链中组件的完整性。 它的灵感来自于谷歌内部的“ Borg二进制授权系统”，它已经在谷歌内部使用了8年多，并且强制托管谷歌所有生产工作负载。 SLSA的目标是改善行业状况，尤其是开源软件安全状况，进而抵御最要紧的供应链完整性威胁。 使用SLSA，用户方便根据他们目前使用软件的安全状况 …

SLSA (pronounced "salsa") is a security framework from source to service, giving anyone working with software a common language for increasing levels of software security and supply chain integrity. It’s how you get from safe enough to being as resilient as possible, at any link in the chain. See https://slsa.dev to learn about SLSA.

2021年6月22日 · Google所提出的解决方案是SLSA（发音为salsa），即结束框架，用于确保整个软件供应链中的中间件的完整性。 它受到Google内部BAB的启发，该谷歌过去8年已经使用，并且对于所有谷歌的生产工作负载是强制性的。 SLSA的目标是提高产业，特别是开源软件的安全状态，以抵御最紧迫的完整性的威胁。 使用SLSA，消费者可以对他们所消费的软件的安全状况做出明智的选择。 SLSA有助于防止普通供应链攻击。 以下表格展示出了集中典型的软件供应链，并 …

SLSA is a set of incrementally adoptable guidelines for supply chain security, established by industry consensus.

2023年8月31日 · Google 的 SLSA 框架（Supply-chain Levels for Software Artifacts 软件制品的供应链级别）是通过识别 CI/CD 流水线中的问题并减小影响，为实现更安全的 软件开发 和部署流程提供建议。 SLSA [1] 全名是 Supply chain Levels for Software Artifacts, or SLSA (发音“salsa”). SLSA 是一个安全框架，一个标准和控制的清单，确保软件构建和部署过程的安全性，防止篡改源代码、构建平台以及构件仓库而产生的威胁。 任何软件供应链都可能引入漏洞，随着系统变 …

软件供应链等级框架 (SLSA) 有助于保护软件供应链免受安全风险。 它使用渐进的等级来确保软件的安全构建和分发，引导公司从基础自动化到完全可追溯和防篡改的流程。 随着 DevOps 实践和 CI/CD pipeline加速软件开发的同时，也暴露了漏洞。 攻击者可以利用这些漏洞，注入恶意代码或篡改依赖项。 软件工件的供应链级别 通过确保开发过程的每一步都是安全、透明和可验证的来应对这些挑战。 可见性和可追溯性：SLSA 跟踪您的 pipeline从而更容易及早发现漏洞。 主动防 …

SLSA is a specification for describing and incrementally improving supply chain security, established by industry consensus. It is organized into a series of levels that describe increasing security guarantees. This is version 1.0 of the SLSA specification, which defines the SLSA levels and recommended attestation formats, including provenance.

SLSA 是一个端到端框架，旨在确保软件开发和部署过程的安全性，专注于缓解由于篡改源代码、构建平台或构件仓库而产生的威胁。 这些要求源于 Google 的 BAB （Binary Authorization for Borg），该授权已经使用了8年多，并且对于 Google 的所有生产工作负载都是强制性的。 SLSA 侧重于以下两个主要原则，即所有软件工件都应当： 非单边：未经至少一个其他“受信任的人”的明确审查和批准，任何人都无法修改软件供应链中任何地方的软件工件。 目的是预防或尽早发 …

2023年12月24日 · 2023年4月19日开源安全基金会（ Open Source Security Foundation，OpenSSF）宣布发布 软件 工件供应链级别（Supply-chain Levels for Software Artifacts，SLSA，发音为“salsa”）1.0版本。 SLSA是一个OpenSSF项目，提供软件供应链安全规范，由社区专家共识建立。 SLSA的框架被组织成一系列级别，这些级别描述了逐渐严格的 安全性，旨在确保软件没有被篡改，并且可以安全地追溯到其来源。 SLSA是一种供应链安全语言， …