Term

SLSA

別名: Supply-chain Levels for Software Artifacts

Overview

最終更新: 2026年7月9日

Googleが提唱し、OpenSSFが推進するソフトウェアサプライチェーンのセキュリティ基準。ソースコードの変更からビルド、デプロイに至るまでの各工程を暗号論的に証明(アテステーション)することで、成果物の出所と完全性を保証する。レベル1から4まで定義されているが、Mini Shai-Huludの事例では、ビルド環境自体が乗っ取られた場合に「正規の署名」が攻撃に悪用される限界が露呈した。

Mentioned Articles

2 件

External Mentions

10 件